tÜrk İye’de bankacilik sektÖrÜnde Ç denet İm ile İlgili...1.3.1.1. mali tablolar...
TRANSCRIPT
T.C İnönü Üniversitesi Sosyal Bilimler Enstitüsü İşletme Ana Bilim Dalı Muhasebe Ve
Finansman Bilim Dalı
TÜRKİYE’DE BANKACILIK SEKTÖRÜNDE İÇ
DENETİM
Hazırlayan
SEMİHA DİNÇARSLAN
Tez Danışmanı
Yrd. Doç. Dr. M. CEM DANACI
Lisansüstü Eğitim- Öğretim Sınav Yönetmeliği’nin İşletme Anabilim Dalı İçin Öngördüğü YÜKSEK LİSANS TEZİ Olarak Hazırlanmıştır.
Malatya, 2010
i
TÜRKİYE’DE BANKACILIK SEKTÖRÜNDE İÇ
DENETİM
Hazırlayan
Semiha DİNÇARSLAN
T.C
İnönü Üniversitesi Sosyal Bilimler Enstitüsü
İşletme Ana Bilim Dalı Muhasebe ve Finansman Bilim Dalı
Tez Danışmanı
Yrd. Doç. Dr. M. Cem DANACI
Lisansüstü Eğitim- Öğretim Sınav Yönetmeliği’nin İşletme Anabilim Dalı İçin Öngördüğü YÜKSEK LİSANS TEZİ Olarak Hazırlanmıştır.
Malatya, 2010
ii
Sosyal Bilimler Enstitüsü Müdürlüğüne; İş bu çalışma, jürimiz tarafından İşletme Anabilim Dalında Bilim Uzmanlığı
(YÜKSEK LİSANS) Tezi olarak kabul edilmiştir.
BAŞKAN………………………………………………………………………………
Adı, Soyadı ve Ünvanı
ÜYE…………………………………………………………………………………....
Adı, Soyadı ve Ünvanı
ÜYE……………………………………………………………………………………
Adı, Soyadı ve Ünvanı Yukarıdaki imzaların, adı geçen öğretim üyelerine ait olduğunu onaylıyorum.
.…/.…/ 2010
İMZA Adı, Soyadı ve Ünvanı Enstitü Müdürü
iii
BİLDİRİM Hazırladığım tezin/raporun tamamen kendi çalışmam olduğunu ve her alıntıya
kaynak gösterdiğimi taahhüt eder, tezimin/raporumun kâğıt ve elektronik
kopyalarının İnönü Üniversitesi Sosyal Bilimler Enstitüsü arşivlerinde aşağıda
belirttiğim koşullarda saklanmasına izin verdiğimi onaylarım:
Tezimin/Raporumun tamamı her yerden erişime açılabilir.
Tezim/Raporum sadece İnönü Üniversitesi yerleşkelerinden erişime açılabilir.
Tezimin/Raporumun 10 yıl süreyle erişime açılmasını istemiyorum. Bu sürenin
sonunda uzatma için başvuruda bulunmadığım takdirde, tezimin/raporumun tamamı
her yerden erişime açılabilir.
24/03/2010 Semiha DİNÇARSLAN
iv
Yrd. Doç. Dr. M. CEM DANACI’nın danışmanlığında yüksek lisans tezi
olarak hazırladığım TÜRKİYE’DE BANKACILIK SEKTÖRÜNDE İÇ
DENETİM başlıklı bu çalışmanın, bilimsel ahlak ve geleneklere aykırı düşecek bir
yardıma başvurmaksızın tarafımdan yazıldığını ve yararlandığım bütün yapıtların
hem metin içinde hem de kaynakçada yöntemine uygun biçimde gösterilenlerden
oluştuğunu belirtir, bunu onurumla doğrularım.
Semiha DİNÇARSLAN
v
ÖZET
Günümüzde sürekli gelişmekte olan iş dünyası, ekonomik koşullardaki
olumsuzluklar ve krizler, rekabet koşulları, teknolojik gelişmeler, tüm kuruluşlarda
iyi kurumsal yönetim ve dolayısıyla denetim sistemlerinin işletilmesini kaçınılmaz
hale getirmiştir. Bu sistem içinde bankalar büyük öneme sahiptir çünkü bankaların
klasik anlamda sahip olduğu fonksiyonlar zamanla artmıştır ve denetimleri zorunlu
hale gelmiştir.
Bankalar çağımızda önemli hizmetler gören kurumlardır ve giderek
fonksiyonları ve bunun sonucunda bankalara yönelik denetim faaliyetleri
artmaktadır. Ancak bu faaliyetlerin, çeşitli esaslara uygunluğunun tespiti bankalar
için günümüzde oldukça zor bir durumdur. Bu nedenle bankacılık sektöründe
denetim faaliyetleri bankaların bünyesinde yapılanlara ek olarak belirli esaslar
çerçevesinde, denetim yetkisine sahip kurumlar tarafından da yapılmaktadır.
İster gelişmiş, ister gelişmekte olan bir ülke olsun, bankacılık sisteminin zayıf
oluşu hem o ülkenin mali sisteminin, hem de uluslar arası piyasaların istikrarına karşı
önemli bir tehdit oluşturur. Son yıllarda Türk bankacılık sektörü de uluslar arası
bankacılık sektöründe varlığını devam ettirmek için birçok yasal düzenlemelerle
donatılmış ve bu düzenlemeler doğrultusunda faaliyetlerini daha şeffaf sürdürmeyi
amaçlamıştır. Türkiye’de meydana gelen bazı banka iflasları düzenlemeden sorumlu
kuruluşları önlemler almaya itmiştir. Bu gelişmeler doğrultusunda, Sermaye Piyasası
Kurulu denetim hakkında tebliğler yayınlamış ve Bankacılık Düzenleme ve
Denetleme Kurumu kurulmuştur. Ancak getirilen tüm yasal düzenlemeler, bankacılık
alanındaki yapısal sorunların tekrar ortaya çıktığı dönemlerde yetersiz kaldığı için
büyük ekonomik sorunlara neden olmaktadır. Bu nedenle Türk bankacılık sektörü
klasik denetim anlayışından öte, şeffaflık ve riskleri en aza indirebilirlik
doğrultusunda ekonomiye en fazla katkıyı sağlama amacı edinmelidir.
vi
Bu çalışmada, bankalarda etkin bir iç kontrol ve risk yönetim sistemine ihtiyaç
duyulmasının nedenleri ve bankalarda iç kontrol sistemini oluşturan temel unsurlar
incelenmektedir. Bu kapsamda bankaların faaliyet yapısı ve bankalarda iç kontrol ve
risk yönetim sistemini oluşturan unsurlar ele alındıktan sonra kontrol usul ve
yöntemlerini geliştirmeye yönelik örnek bir model tanıtılmaya çalışılmaktadır.
Anahtar Kelimeler : Banka, İç Denetim, Risk Yönetimi, Basel Kriterleri
vii
ABSTRACT
At this age, lasting developing world of work, disadvantages in economic
conditions, technological developments, good associational management in all
institutes require interior auditing system operations. In thıs system banks have a big
importance because classical functions of banks have developed by the time and it
requires their auditing obligatory.
Banks are the institutes which provide important services and both their
functions and finally auditing activities for banks will develop. But it is a hard
situation for banks to prove these activities suitable for various essentials. For this
reason, in banking sector, auditing activities adding to structure of banks specific
essentials are also done by institutes which have auditing authority.
Either in developed or in developing countries, the weakness of banking
system is a threat for both the contry’s economic system and stability of international
markets. In latest years, Turkish banking sector aims to be dected out with many
legal orders and continue its activity transperently with the help of this orders to
continue its existence in international banking. Several bank crisis carried out in
Turkey in previous years prompted authorities to take measures. Parallel to these
developments, Capital Market Board in Turkey has published articles about auditing
and Banking Regulation and Supervision Agency established for performing audit
actions. But all legal orders cause big economic problems because they are
insufficent when the structural problems occur again in banking sector exept classical
auditing opinion should aim to add more to economy with transperency and
decreasing risks to the minimum rates.
In this study, the reasons why banks are needing effective internal auditing
and risk management system and main components of effective internal auditing and
risk management in banks are evaluated. In this context, after evaluating operational
viii
structure of banks and the components of internal auditing and risk management
system in commercial banks than a model is tried to be introduced for the purpose of
developing control techniques and procedures and examples of specific control
techniques and procedures which are applicable in banking internal auditing and risk
management system are tried to be developed with this model.
Keywords: Banks, Internal Auditing, Risk Management, Basel Principles
ix
İÇİNDEKİLER GİRİŞ ........................................................................................................................ xiv BİRİNCİ BÖLÜM GENEL OLARAK DENETİM.................................................................................... 5 1.1. Giriş....................................................................................................................... 5 1.2. Denetimin Tanımı ................................................................................................. 6 1.3. Denetim Türleri ..................................................................................................... 7 1.3.1. Denetimin Amacı Yönünden Türleri .............................................................. 8 1.3.1.1. Mali Tablolar Denetim.............................................................................. 8 1.3.1.2.Uygunluk Denetimi (Düzenlilik, Usul Denetimi, Mali Denetim) ............. 8 1.3.1.3. Performans Denetimi (İşletme Denetimi, Faaliyet Denetimi) .................. 9 1.3.1.4. Ekonomik Denetim (Bütünleşik Denetim, Sistemci Denetim) ............... 11 1.3.2. Denetimin Statüsüne Göre Türleri ................................................................ 11 1.3.2.1. İç Denetim (Internal Auditing) ............................................................... 11 1.3.2.2. Dış Denetim (External Auditing) ............................................................ 13 1.4. Genel Kabul Görmüş Denetim Standartları ........................................................ 15 1.4.1. Genel Standartlar........................................................................................... 17 1.4.1.1. Mesleki Eğitim ve Deneyim ................................................................... 17 1.4.1.2. Bağımsızlık ve Tarafsızlık ...................................................................... 18 1.4.1.3. Mesleki Özen .......................................................................................... 19 1.4.2. Çalışma Sahası Standartları .......................................................................... 19 1.4.2.1. Planlama ve Gözetim .............................................................................. 20 1.4.2.2. İç Kontrolün İncelenmesi........................................................................ 21 1.4.2.3. Kanıt Toplama......................................................................................... 22 1.4.3. Raporlama Standartları ................................................................................. 24 1.4.3.1. Genel Kabul Görmüş Muhasebe İlkelerine Uyum.................................. 25 1.4.3.2. Devamlılık............................................................................................... 25 1.4.3.3. Açıklayıcı Bilgiler................................................................................... 26 1.4.3.4. Denetçi Görüşü ....................................................................................... 27 1.5. Denetimin Süreçleri ............................................................................................ 28 1.5.1.Veri Sağlama.................................................................................................. 28 1.5.2.Karar Alma..................................................................................................... 28 1.5.3. Planlama........................................................................................................ 29 1.5.4. Organizasyon................................................................................................. 29 1.5.5. İletişim .......................................................................................................... 30 1.5.6. Etkilenme ...................................................................................................... 30 1.5.7. Koordinasyon ................................................................................................ 31 1.6. Denetçi Türleri .................................................................................................... 32 1.6.1. Bağımsız Denetçiler ...................................................................................... 32 1.6.2. İç Denetçiler .................................................................................................. 34 1.6.3. Kamu Denetçileri .......................................................................................... 35
x
İKİNCİ BÖLÜM İÇ DENETİM VE RİSK YÖNETİMİ AÇISINDAN..................................................... BANKA İŞLETMELERİ VE KARŞILAŞILAN SORUNLAR............................... 37 2.1. Giriş..................................................................................................................... 37 2.2. İç Denetim Kavramı............................................................................................ 38 2.3. İç Denetimin Amacı ve İç Denetimi Gerektiren Nedenler.................................. 40 2.3.1. Sorumluluk ve Hesap Verebilme .................................................................. 41 2.3.2. Vekalet Teorisi .............................................................................................. 42 2.3.3.Yönetime Danışmanlık ve Yardım ................................................................ 42 2.3.4.Tasarruf İhtiyacı ............................................................................................. 43 2.3.5. Hileli İşlemlere Karşı Korunma İhtiyacı....................................................... 43 2.4. İç Denetim Faaliyetinin Nitelikleri ..................................................................... 44 2.4.1. Sistematik ve Nesnel Onay ........................................................................... 45 2.4.2.Tüm İşlemler .................................................................................................. 46 2.4.3.Doğru ve Güvenilir Bilgi ............................................................................... 46 2.4.4. Risklerin Tanımlanması ve En Aza İndirilmesi ............................................ 46 2.4.5.Hukuka ve İşletme İçi Kural ve Usullere Uygunluk...................................... 46 2.4.6.Kaynakların Etkin ve Verimli Olarak Kullanılması....................................... 47 2.4.7. İşletmenin Amaçlarına Etkin Bir Şekilde Ulaşması...................................... 47 2.5. Bankanın Tanımı................................................................................................. 47 2.6. Banka İşletmelerinin Fonksiyonları .................................................................... 48 2.6.1.Kaynak Sağlama Fonksiyonu......................................................................... 49 2.6.2.Fon Kullanma Fonksiyonu............................................................................. 49 2.6.3. Kaydi Para Oluşturma Fonksiyonu ............................................................... 50 2.6.4. Hizmet Fonksiyonu ....................................................................................... 50 2.7. Bankacılığın Risk Yapısı ve Banka Faaliyetlerindeki Sınırlandırmalar ............. 51 2.7.1. Banka İşletmelerini Karşılaştığı Riskler ....................................................... 52 2.7.1.1. Kredi Riski .............................................................................................. 53 2.7.1.2. Faiz Oranı Riski ...................................................................................... 55 2.7.1.3. Likidite Riski........................................................................................... 56 2.7.1.4. Piyasa Riski............................................................................................. 58 2.7.1.5. Kur Riski ................................................................................................. 58 2.7.1.6. Sermaye Yetersizliği Riski...................................................................... 59 2.7.1.7. Faaliyet Riski .......................................................................................... 59 2.7.1.8. Suistimal Riski ........................................................................................ 60 2.7.1.9. Ülke Riski ............................................................................................... 61 2.7.2. Banka Faaliyetlerindeki Sınırlandırmalar ..................................................... 61 2.7.2.1. Pazardaki Sınırlandırmalar...................................................................... 62 2.8. Bankacılık Sektöründe Risk Yönetimi ve Beklentiler ........................................ 64 2.8.1. Bankalar Kanunu ve Risk Yönetimi ............................................................. 65 2.8.2. Finansal Risk ve Yönetimi ............................................................................ 66 2.9. Banka İşletmelerinde İç Denetim İlke ve Esasları .............................................. 72 2.9.1. Banka İşletmelerinde İç Denetimin Önemi ve Amaçları .............................. 74 2.9.2. Banka İşletmelerinde İç Denetim İlkeleri ..................................................... 75 2.9.2.1. Süreklilik ................................................................................................. 75
xi
2.9.2.2. Bağımsız İşlev......................................................................................... 75 2.9.2.3. Denetim Tüzüğü...................................................................................... 76 2.9.2.4. Yansızlık ................................................................................................. 76 2.9.2.5. Profesyonel Yeterlilik ............................................................................. 77 2.9.2.6. Faaliyetin Kapsamı ................................................................................. 77 2.9.3. Banka İşletmelerinde Etkin Bir İç Kontrol Sistemine İhtiyaç Duyulmasının Nedenleri .................................................................................................................... 78 2.10. Bankalarda İç Denetim Sisteminin Temel Unsurları ........................................ 80 2.10.1. Banka Yönetiminin Gözetimdeki Rolü ve Kurum İçi Denetim Kültürü .... 81 2.10.1.1. Banka Yönetim Kurulunun Rolü ........................................................ 81 2.10.1.2. Banka Üst Düzey Yönetiminin Rolü................................................... 83 2.10.1.3. Denetim Kültürü ................................................................................. 84 2.10.2. Risk Tespiti ve Değerlendirme ................................................................... 85 2.10.3. Denetim İşlevi ve Görev Dağılımı .............................................................. 87 2.10.4. İzleme Faaliyetleri ve Denetim Sisteminde Hataların Düzeltilmesi ........... 90 ÜÇÜNCÜ BÖLÜM TÜRK BANKACILIK SEKTÖRÜNDE İÇ DENETİM ............................................... YAPISININ OLUŞTURULMASI............................................................................ 94 GİRİŞ ....................................................................Hata! Yer işareti tanımlanmamış. 3.1.Bankalarda İç Denetime Konu Olan Denetim Alanları ....................................... 97 3.1.1. İç Denetime Konu Olan Temel Kontrol Alanları.......................................... 98 3.1.1.1.Gözetim Amacıyla Kurum Tarafından Talep Edilen Raporlamaların ve Diğer Bilgilerin Hazırlanmasına İlişkin Kontroller ................................................... 98 3.1.1.2. İlgili Mevzuata Uygunluğun Sağlanması................................................ 98 3.1.1.3. Yeterli Düzeyde Karşılık Ayrılmasının Sağlanması ............................... 99 3.1.1.4. Faaliyetlerin Basiretli Bir Şekilde Planlanması ve Yürütülmesinin Sağlanması ................................................................................................................. 99 3.1.1.5. Finansal Muhasebe ve Yönetim Bilgi Sistemlerine İlişkin İnceleme ve Kontroller ................................................................................................................... 99 3.1.1.6. Temel Faaliyet Alanlarının Özel Kontrolü ........................................... 100 3.1.1.7. Otomasyon/Bilgi-İşlem Ortamının Kontrolü ........................................ 100 3.1.1.8. Acil ve Beklenmedik Durum Planlaması.............................................. 100 3.1.1.9. Kara Paranın Aklanmasının Önlenmesi ................................................ 100 3.2. İç Kontrol Ve İç Denetim İlişkisi...................................................................... 101 3.3. 5411 Sayılı Bankacılık Kanunu Çerçevesinde Bankalarda İç Denetim Sistemine Getirilen Düzenlemeler ............................................................................................ 102 3.4. Basel Komitesi Ve Bankaların İç Denetimine Yönelik Getirilen Düzenlemeler............................................................................................................104 3.4.1. Basel Komitesi’nin Kuruluşu ve Amacı......................................................104 3.4.2. Basel Komitesi’nin İç Denetim Sisteminin Değerlendirilmesine İlişkin Yayınladığı Prensipler.............................................................................................. 105 3.4.3.Basel Komitesi’nin İç Denetim Faaliyetlerine İlişkin Görev Dağılımı ....... 107 3.5. Bankalarda İç Denetim Sisteminin Yapısı ........................................................ 109
xii
3.5.1. İç Kontrol Merkezi...................................................................................... 109 3.5.1.1. Bankalarda İç Kontrol Faaliyetleri........................................................ 112 3.5.1.2. İç Kontrol Merkezinin Yapısına İlişkin Esaslar.................................... 113 3.5.1.3. İç Kontrol Merkezi Üyelerinin Görev ve Sorumlulukları..................... 116 3.5.2. Banka Teftiş Kurulu.................................................................................... 124 3.5.2.1. Teftiş Kavramı ...................................................................................... 124 3.5.2.2. Teftiş Yöntemleri .................................................................................. 124 3.5.2.3. Teftiş İşlemlerinin Uygulanmasında Yer Alan Kanıt Türleri ............... 125 3.5.2.4. Teftiş Kurulu’nun Organizasyon Yapısı ............................................... 127 3.5.2.5. Teftiş Kurulu Üyelerinin Görev ve Sorumlulukları .............................. 128 3.5.3. Banka Risk Yönetim Merkezi..................................................................... 131 3.6. Türk Bankacılık Sektörünün İç Denetime Geçiş Aşamasında Yeniden Yapılandırılması....................................................................................................... 133 3.7. Türk Bankacılık Sektöründe Etkin Bir İç Denetim Ve Risk Yönetim Sistemi Uygulamasında Karşılaşılan Sorunlar...................................................................... 136 DÖRDÜNCÜ BÖLÜM BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİ VE DENETİMİ .................. 138 4.1. Bankalarda Bilgi Sistemleri Yönetimi FaaliyetininTemel Amacı Kapsamı ..... 138 4.1.1.Bilgi Sistemleri Risk Yönetimi .................................................................... 140 4.1.1.1. Yönetim Gözetimi................................................................................. 142 4.1.1.2. Güvenlik Kontrol Sürecinin Tesis Edilmesi Ve Yönetilmesi ............... 143 4.1.1.3. Destek Hizmeti Alımı Sürecinin Yönetimi ........................................... 144 4.1.1.4. Kimlik Doğrulama ................................................................................ 147 4.1.1.5. İnkâr Edilemezlik Ve Sorumluluk Atama............................................. 148 4.1.1.6. Görevler Ayrılığı Prensibi..................................................................... 148 4.1.1.7. Yetkilendirme........................................................................................ 149 4.1.1.8. İşlemlerin, Kayıtların Ve Verilerin Bütünlüğü ..................................... 150 4.1.1.9. Denetim İzlerinin Oluşturulması........................................................... 151 4.1.1.10. Veri Gizliliği ....................................................................................... 152 4.1.1.11. Müşterilerin Bilgilendirilmesi ............................................................. 153 4.1.1.12. Müşteri Bilgilerinin Mahremiyeti ....................................................... 154 4.1.1.13. İş Sürekliliği Ve Kurtarma Prosedürü................................................. 154 4.1.1.14. Acil ve Beklenmedik Durum Planı ..................................................... 156 4.1.2. Bilgi Sistemlerine İlişkin İç Kontrol Sistemi Bilgi Sistemleri Kontrolleri . 157 4.1.2.1. Uygulama Kontrolleri ........................................................................... 158 4.1.2.2. Genel Kontroller.................................................................................... 161 4.1.2.3. Kontrollerin İzlenmesi .......................................................................... 162 4.1.3.Bilgi Sistemlerine İlişkin İç Denetim Bilgi Sistemleri İç Denetimi ............ 162 4.2. Özellik Arz Eden İşlemler................................................................................. 163 4.2.1.İnternet Bankacılığı ...................................................................................... 163 4.2.1.1. İnternet Bankacılığı Hizmetleri............................................................. 163 4.2.1.2. Yönetim Gözetimi................................................................................. 163 4.2.1.3. Güvenlik Kontrol Sürecinin Tesis Edilmesi Ve Yönetilmesi ............... 164
xiii
4.2.1.4. Kimlik Doğrulama ................................................................................ 164 4.2.1.5. İnkâr Edilemezlik Ve Sorumluluk Atama............................................. 167 4.2.1.6. Denetim İzlerinin Oluşturulması........................................................... 168 4.2.1.7. Müşterilerin Bilgilendirilmesi ............................................................... 168 4.2.1.8. Müşteri Bilgilerinin Mahremiyeti ......................................................... 171 4.2.1.9. Servis Sürekliliği Ve Kurtarma Prosedürü............................................ 171 4.2.2. ATM............................................................................................................ 172 4.2.2.1. ATM güvenliği...................................................................................... 172 4.2.3. Kablosuz Haberleşme Teknolojileri............................................................ 174 SONUÇ .................................................................................................................... 175 EKLER......................................................................................................................180 KAYNAKÇA............................................................................................................183
xiv
KISALTMALAR
ABD : Amerika Birleşik Devletleri
AICPA : American Institute of Certified Public Accountants
BDDK : Bankacılık Düzenleme ve Denetleme Kurumu
BIS : Bank for International Settlements
BSDHY : Bilgi Sistemleri Denetimi Hakkında Yönetmelik
CBOT : Chicago Board of Trade
COBİT : Control Objectives for Information and Related Technology
DİBS : Devlet İç Borçlanma Senetleri
IMF : International Monetary Fund
INTOSAI : International Organization of Supreme Audit Institutions-
TMSF : Tasarruf Mevduatı Sigorta Fonu
1
GİRİŞ
Bankalar, bir ülke ekonomisinde yerine getirdikleri çeşitli fonksiyonlarla çok
önemli bir konuma sahiptirler. Kalkınmakta olan ülkelerin başlıca faaliyetlerini
oluşturan, sanayi yatırımların ve ihracata yönelik faaliyetlerin finansman talebini
karşılayan bankalar, atıl durumlardaki tasarrufları ve diğer fonları, geniş ve çeşitli
kaynak yaratma kapasiteleri sayesinde yatırımlarda ve ihracatta kullanılabilen uzun
vadeli fonlara dönüştürebilirler.
Ekonomideki kaynak ve gelir dağılımını etkilemesi, kaydi para yaratabilmesi,
ekonomik istikrarı etkileyerek enflasyonist ve deflasyonist baskılara neden olması,
faaliyetlerini kendi özkaynaklarından çok birikim sahiplerinden mevduat ve diğer
isimler altında topladığı fonlarla sürdürmesi, başarısızlığının ve yaşadığı
bunalımların tüm ekonomiye yansıması gibi nedenler bankalar üzerinde bir denetim
mekanizması kurmayı gerekli kılmıştır.
Bankaların faaliyetleri sonucu elde ettikleri gelirlerden dolayı devlete karşı
vergi vermekle, birikimlerini topladığı tasarruf sahiplerinin tasarrufuna karşılık da
onlara faiz ve vade bitiminde anaparanın ödenmesiyle yükümlüdürler. Faaliyetleri
ülke ekonomisini ve tüm bireylerin çıkarlarını yakından ilgilendirdiğinden, sözü
edilen denetim mekanizması tüm ilgili taraflarca benimsenmektedir.
Bankaların devlete ve mudilere karşı, ayrıca kredi kullandığı diğer kurumlara
ve bankalara karşı parasal yükümlülükleri bulunmaktadır. Ülkemizde ve dünyanın
pek çok ülkesinde yaşanan banka ve bankerlik olayları, tarafların bankacılık
kesimine zaman zaman güvensizlik içinde bakmalarına sebep olmuştur. Bankalarca
üstlenilen sorumlulukların yerine getirilip getirilemeyeceği (zamanında ve gereken
miktarda) hakkında insanların aklını kurcalayan sorulara cevap aranmış ve bu cevap
da genellikle devletten beklenmiştir. Durum böyle olunca, halkın ekonomik yaşamın
vazgeçilmez unsurları olan bankalara olan güvenin tekrar kazanılması, uluslararası
2
finansal ilişkilere daha rahat girebilmesi gibi amaçların gerçekleştirebilmesi için
denetim yapmak ve yaymak zorunlu hale gelmiştir.
Denetim konusunda genellikle üç tarafın faaliyetlerinden söz etmek
mümkündür. Bunlardan birincisi bankaların iç denetim faaliyetidir. İç denetim,
banka genel kurulu, yönetim kurulu ve teftiş kurulları aracılığı ile yapılan iç
denetimdir. Ancak, çağımızda otomasyonun artması ve bu teknolojik gelişimin
bankacılık sektöründe yaygın bir şekilde uygulamaya konulabiliyor olması iç
denetimin bilinen klasik uygulama şeklini değiştirmektedir. İkinci ve üçüncü olarak
bahsedeceğimiz tarafların faaliyetine dış denetim demek mümkündür. Bunlardan
birisi devletin bankalar üzerindeki kamu denetimidir. Devlet bu fonksiyonunu
ülkeden ülkeye değişiklik gösterebilen çeşitli organlar aracılığı ile yapmaktadır.
Bunların dışında merkez bankaları, hazine ve bankaların oluşturduğu birliklerin
geldiğini söyleyebiliriz. Dış denetimi yapan diğer taraf ise bağımsız denetim
kuruluşlarıdır. Bunlar kendilerine bir müşteri gibi başvuruda bulunan bankaların
finansal ve yönetsel açıdan durumlarını denetlemektedir.
Her üç tarafında banka denetimine farklı yönlerden yaklaşmaları sözkonusu
olsa bile, temelde aynı makro ekonomik amaç güdülmektedir. Bu noktalardan
hareketle her türlü denetim faaliyetlerine büyük görevler düşmektedir. Çünkü, bu
denetim birimleri bankalarla diğer taraflar arasında bir köprü vazifesi görmektedir.
Bu türden denetim faaliyetlerinin ayrıca sermaye piyasasının daha sağlam temellerle
oturtulmasına ve fonksiyonunu daha sağlıklı bir biçimde sürdürmesine katkıda
bulunacağına hiç şüphe yoktur.
18/06/1999 tarihinde yürürlüğe giren 4389 sayılı Bankalar Kanunu'na
dayanarak, Bankacılık Düzenleme Denetleme Kurumu (BDDK) tarafından
hazırlanan "Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında
Yönetmelik", 08/02/2001-24312 tarih ve sayılı Resmi Gazete'de yayımlanarak,
yayım tarihinde yürürlüğe girmiştir. Bu yönetmelik, Türk bankacılığı açısından
yepyeni bir dönemin başlangıcı olmuştur. Ayrıca, BDDK söz konusu yönetmelik
hükümleri ile ilgili bankacılık sektöründe oluşan tereddütlerin giderilmesine yönelik
3
olarak, Bankalar Birliği aracılığıyla bankalara, 03/10/2001 tarih ve BDDK.RGTAD.-
II. 1-8111 sayılı açıklayıcı bir yazı da göndermiştir. Daha sonra 01.11.2005 tarihli
5411 sayılı Bankacılık Kanunu yayınlanmıştır. 5411 sayılı Kanun, 4389 sayılı
Kanunda yer alan maddelerin bir çoğunu aynen benimsemekle birlikte, 4389 sayılı
Kanunda yer almayan çok yeni tanım ve kuruluşlara ilişkin hükümler de getirmiş
bulunmaktadır (Finansal holding şirketi, destek hizmeti kuruluşu, denetim komitesi,
değerleme ve derecelendirme kuruluşları gibi).
Söz konusu yönetmelik ile bankaların karşılaştıkları risklerin izlenmesi ve
kontrolünü sağlamak üzere kuracakları iç denetim sistemleri ve risk yönetim
sistemlerine ilişkin esas ve usuller ayrıntılı bir şekilde düzenlenmeye çalışılmıştır. Bu
yönetmelik ile banka organizasyonuna getirilen temel yenilik ve değişikliklerden
birisi de "İç Kontrol Merkezi" adında bir organın kurulmasının zorunlu tutulmasıdır.
Yönetmelikte öncelikle ve geniş olarak iç kontrol işlevi kavramı üzerinde
durulmuştur. İç kontrol işlevi yönetmelik kapsamında, banka faaliyetlerinin, yönetim
stratejisi ve politikalarına uygun olarak düzenli, verimli ve etkin bir şekilde, mevcut
mevzuat ve kurallar çerçevesinde yürütülmesini, hesap ve kayıt düzeninin
bütünlüğünü ve güvenilirliğini, veri sistemindeki bilgilerin zamanında elde
edilebilirliğini sağlamak amacıyla, banka yönetim kurulu ve üst düzey yönetimi
tarafından tesis edilen yönetim tarzı ve organizasyon yapısı kapsamında yürütülen ve
her seviyedeki personel tarafından uyulması ve uygulanması gereken kontrol
faaliyetlerinin tümü olarak tanımlanmıştır. Görüldüğü gibi, iç kontrol işlevi,
bankanın tüm organizasyonunu kapsamakta olan ve uyulması ile uygulanması
gereken kontrol faaliyetlerinin tümü olarak çok geniş anlamda ve genel bir kavram
olarak kullanılmıştır.
Bankalarca iç kontrol işlevinin etkin bir şekilde yerine getirilmesi amacıyla
asgari olarak; karar alma sürecine ilişkin usul ve esaslar, risk yönetimi kapsam ve
uygulaması, risklerle ilgili limit ve standartların belirlenmesi ve uygulanması, bilgi
işlem alt yapısı üzerinde kontrol oluşturulması, finansal ve yönetsel raporlama,
personel politikası, sorumlulukların belirlenmesi, denetim ve kurallara riayet
4
edilmesi ve son olarak da usulsüz işlemlerin önlenmesi hususlarında yazılı iç
kuralların yönetmelik hükümlerine uygun olarak kurulması ve uygulanması
gerekmektedir.
İç denetim işlevi kapsamındaki faaliyetler, yönetim kurulu, üst düzey yönetim
ve bankanın her seviyedeki personeli ile teftiş kurulu, iç kontrol merkezi ve risk
yönetimi grubu tarafından yürütülür. Yönetim kurulu, bu birimlerin, görevlerini
bankanın temel faaliyetlerinden bağımsız olarak ve objektif bir şekilde yerine
getirmeleri için, gerekli tüm tedbirleri almakla veya alınmasını sağlamakla
yükümlüdür.
Etkin bir iç denetim ve risk yönetim sistemi, banka yönetiminin en önemli
unsuru ve aynı zamanda bankacılık faaliyetlerinin tam ve güvenli olarak
sürdürülmesi için gerekli bir yapıdır. Güçlü bir iç denetim sistemi, bankanın
amaçlarına ulaşılması, uzun dönemli kar hedeflerinin gerçekleştirilmesi ve güvenilir
mali ve idari raporlamanın sürdürülmesi için gereklidir. İç denetim sistemi aynı
zamanda, bankaların hem ilgili yasa ve yönetmeliklere hem de kendi politika ve
yöntemlerine uyumlu olarak faaliyet göstermesine ve bankanın ticari itibarını
olumsuz etkileyebilecek beklenmedik risklerin en aza indirilmesine yardımcı olur.
5
BİRİNCİ BÖLÜM
1. GENEL OLARAK DENETİM
1.1. GİRİŞ
Toplumun büyümesi, iktisadi hayatın gelişip karmaşıklaşması güvenilir bilgi
elde etme gereksinimini daha da artırmaktadır. Her toplumda alınacak kararların
isabetli olması bu bilgilerin ne kadar güvenilir olduğuna dayanmaktadır. Örneğin,
bankadan kredi isteyen bir firmaya bu kredinin verilip verilmeyeceği kararı, firmanın
mali tablolarında yansıyan finansal yapısına ve diğer etkenlere bağlı olmaktadır.
Amaçlara uygun ve tutarlı karar verebilmek için, yararlanılan bilgilerin geçerli ve
güvenilir olması gerekmektedir. Bankanın firma tarafından hazırlanmış yanlış
finansal bilgileri doğru varsayarak kredi vermeyi kabul etmesi ve borçlu firmanın
borcunu geri ödeyememesi hem bankaya hem de genel ekonomiye zarar vermektedir.
Banka anapara ve faiz kaybına katlanmakta, bu krediyi ülke yararı için etkin
kullanacak başka bir firmanın bu kaynaktan yararlanması engellenmiş olmaktadır.
Kullanılacak bilgilerin güvenilir olmama olasılığı işletme işlemlerinin
çokluğu ve karmaşıklığı ile doğru orantılıdır. İşletmelerin giderek büyümeleri ve
muhasebe bölümleri üzerindeki iş yükünün giderek artması, hatalı işlemlerin yapılma
olasılığını arttırmaktadır.
Karar alıcı kendisine sunulan bilgileri doğrudan kaynağına kadar giderek
incelemek olanağına sahip bulunmamaktadır. Karar alıcı başkaları tarafından
hazırlanmış bu bilgilerin doğruluğuna güvenmek durumundadır. Bununla birlikte
karar alıcı açıklanan bilgilerin vereceği karar için ne derece güvenilir olduğunu
araştırmak zorundadır. Açıklanan bilgilerin güvenilir olup olmadığının
araştırılmasında başvurulan genel bir yöntem, bu bilgilerin bağımsız bir kişi
6
tarafından denetlenerek doğrulanmasıdır. Doğruluğu ve tarafsızlığı denetlenip
doğrulanmış bilgi, karar işlemi için doğru bilgi olarak kabul edilmektedir.
1.2. DENETİMİN TANIMI
Denetim kavramı, günlük konuşma dilinde olaylara, eylemlere, kişilere ve
hatta kendine etki edebilme gücüne sahip olabilme anlamında kullanılmaktadır
(Kepekçi, 1994: 1). Kurum ve kuruluşlar ile kişiler görevleri, işlevleri ve faaliyetleri
ile ilgili olarak açıklamalar yapmakta, bildirimlerde bulunarak çeşitli isteklerde
bulunmakta, kararlar alıp uygulamak, belirli görüş ve iddialar ileri sürerek bunların
doğruluk ve güvenirliğini savunmaktadır. Ancak bu bildirim ve iddiaların uygunluğu,
doğruluğu ve güvenirliği tartışılabilir. Amaçlara uygun ve tutarlı karar verebilmek
için karar işleminde yararlanılan bilgilerin geçerli ve güvenilir olması gerekmektedir.
Güvenilir ve geçerli olmayan bilgi, kaynakların etkin ve verimli kullanılmasını
engelleyerek topluma, örgütlere ve karar alıcılara zarar verir.
Yönetim unsurlarının ayrılmaz bir parçası ve tamamlayıcısı olan denetimin
amaçları ve özellikleri göz önünde bulundurularak çeşitli tanımlamalar yapılmıştır.
Denetim, belli bir döneme ait iktisadi faaliyet ve olaylarla ilgili iddiaların önceden
saptanmış ölçütlere uygunluk derecesini araştırmak ve sonuçları ilgi duyanlara
bildirmek amacıyla tarafsızca kanıt toplayan ve kanıtları değerleyen sistematik bir
süreçtir (Auditing Concepts Committe, 1972:181).
Denetim Latince audire, İngilizce audit kelimesinin Türkçe karşılığı olup,
Türk Dil Kurumu tarafından bir işin doğru ve yönetime uygun olarak yapılıp
yapılmadığını incelemek, murakabe etmek, teftiş etmek, kontrol etmek olarak
tanımlanmıştır (Örenay, 2005:3).
Modern anlamda denetim, olasılık ve görelilik (probabilite ve relativite)
esaslarıyla belirlenmiş hedef ve standartlar doğrultusunda ortaya çıkan sonuçların
7
verimlilik, etkinlik ve ekonomiklik derecelerini ölçmek, karşılaştırmak ve
değerlendirmektir (Kenger, 2001:1).
Bu tanım Türk Literatüründe kontrol, muhasebe denetimi olarak
kullanılmaktadır. Yönetim bilimlerine göre denetim ise "Kabul edilmiş standartlara
göre tanımlanan faaliyetlerin ölçülmesi ve amaçlardan sapmalar varsa, gerekli
düzeltmeleri yapabilmek olanaklarının kazanılması" demektir (Tümer, 1975:326).
Yönetim denetimi kavramı böylece, "Geniş kapsamlı ve firmanın bütün
faaliyetlerinin iktisadilik ve rasyonellik ana ilkeleri çerçevesinde ve firmanın
amaçlarına uygun bir biçimde yürütülebilmesini sağlayan gözlemleme, değerleme,
yorumlama ve düzeltme faaliyetleri" olmaktadır (Peker, 1983: 236).
1.3. DENETİM TÜRLERİ
Klasik anlamda denetim, konularına ve amaçlarına göre finansal denetim,
uygunluk denetimi ve performans denetimi olmak üzere üçe ayrılmaktadır. Ancak,
bu üç denetim türünün bir arada yürütülmesi halinde ekonomik denetim adında
dördüncü bir denetim türü ortaya çıktığı da görülmektedir. Denetimi, statüsüne göre
ise iç denetim ve dış denetim olmak üzere ikiye ayrılmaktadır. Dış denetim; bağımsız
denetim ve kamu denetimi olmak üzere de kendi içinde ikiye ayrılır. Yüksek denetim
kurumlarının (yüksek denetleme kurulları, sayıştaylar) kamu kuruluşları üzerinde
parlamentolar adına yaptıkları denetim geçmişte dış denetim kapsamında
değerlendirilirken, günümüzde tamamen "yüksek denetim (supreme audit)" adında
üçüncü bir denetim statüsü olarak kabul edilmektedir. Denetçinin niteliğine göre
yapılan sınıflandırmalar temelde, denetçinin örgüt personeli olup olmamasına ve
örgüt dışında ise denetçi ile örgütü bir araya getiren hukuki bağa göre
biçimlenmektedir.
8
1.3.1. Denetimin Amacı Yönünden Türleri
Denetimin amacı yönünden türleri dört şekilde incelenmektedir. Bunlar Mali
Tabloların Denetimi, Uygunluk Denetimi, Performans Denetimi, Ekonomik Denetim
olarak sıralanmaktadır.
1.3.1.1. Mali Tablolar Denetimi
Mali Tablolar denetimi (audit of financial statements), bir işletmenin mali
tablolarının önceden belirlenmiş kriterlere uygun olarak düzenlenip düzenlenmediği
konusunda bir görüş belirlemek amacıyla bu finansal tabloların incelenmesini kapsar.
Bu kriterler genel kabul görmüş muhasebe ilkeleri veya vergi mevzuatı hükümleridir.
Bu denetim bağımsız denetçiler ve kamu denetçileri tarafından yürütülür. Denetimin
konusu, ortaklara veya ilgili kamu kuruluşlarına verilen mali tablolardır. Denetçi
mali tabloları denetlerken, bu tabloların değişik gruplarca değişik amaçlar için
kullanılacağı hususunu göz önünde tutar. Denetim tüm grupların ihtiyaçlarını
karşılamak üzere gerçekleştirilen genel amaçlı bir çalışmadır. Her grup için ayrı
denetimler yapılmaz. Genel amaçlı tek bir denetim yapılarak tüm grupların bilgisine
sunulur. Şayet bu gruplardan herhangi biri bu genel denetimin kendisi için yeterli
bilgi sağlamadığı görüşüne varırsa, bu grup için gerekli diğer bilgileri toplama
olanağı her zaman için vardır (Güredin, 1994: 14).
1.3.1.2.Uygunluk Denetimi (Düzenlilik, Usul Denetimi, Mali Denetim)
Uygunluk denetimi (compliance, regularity, propriety audit), bir örgütün mali
işlemlerinin ve faaliyetlerinin belirlenmiş yöntemlere, kurallara veya mevzuata
uygun olup olmadığını belirlemek amacıyla incelenmesidir. Bu denetim türünde
belirlenmiş kriterler farklı kaynaklar tarafından oluşturulur. Uygunluk denetimi, iç
denetçiler ve dış denetçiler ile kamu denetçileri tarafından yürütülür. Denetimin
konusu, örgütün mali işlemleri ve faaliyetleridir (Kenger, 2001: 7).
9
Uygunluk denetimi üst makamlar ve yasal mevzuat tarafından önceden
saptanmış kurallara uyulup uyulmadığının araştırılmasıdır. Bu üst makamlar kuruluş
içinden olabileceği gibi kuruluş dışından da olabilir. Birinci duruma örnek, muhasebe
kayıtlarının işletmedeki finansman ve mali işler müdürlüğünün yayınladığı
yönergelere ve muhasebe el kitabına uygun olarak yapılıp yapılmadığının
denetimidir. İkinci duruma örnek, ödenen ücretlerle ilgili olarak asgari ücret kuralına
uyulup uyulmadığının denetimidir (Poyraz, 1993: 7). Özellikle devlet müdahalesinin
arttığı durumlarda uygunluk denetimlerinin kapsamı da genişlemektedir. İster özel
kesimde isterse kar amaçsız kamu kesiminde olsun belirlenmiş politikalara, yazılı
sözleşmelere ve yasal düzenlemelere uygunluk, denetçiler tarafından araştırılan bir
denetim türüdür. Uygunluk denetiminde ulaşılan sonuçlar geniş bir kitleye değil,
sınırlı olarak ilgili ve yetkili kişi ve kuruluşlara raporlanır. Bu nedenle çoğunlukla
uygunluk denetimi iç denetçiler, gerekli durumlarda ise dış denetçiler tarafından
yapılır.
Yapılan işlemlerin ölçütlere uygunluğunun araştırılmasında sürdürülecek bir
denetimin etkinliğinin arttırılması için (Baily, 1970: 3);
• Denetimi yürütecek denetçinin bu konularda yetenekli olması,
• İşletme içinde iyi bir belge dosyalama sisteminin var olması,
• Uygunluk denetimi sonuçlarının raporlanmasının bir sisteme bağlanmış
olması koşulları gereklidir.
1.3.1.3. Performans Denetimi (İşletme Denetimi, Faaliyet Denetimi)
Performans denetimi, bir şirketin, kurumun veya bir hükümet örgütünün veya
bunların herhangi bölümlerinin planları, programları, amaçları, kontrol yöntemleri,
faaliyet araçları, fiziksel ve personel olarak olanaklarını kullanımının yapısal ve çok
geniş bir biçimde incelenmesidir (William, 1983: 35). Organizasyonların büyümesi,
holdingleşmenin artması ve merkezleşmeme eğiliminin kuvvetlenmesi sonucu
özellikle son 30 yılda performens denetimi gelişmiş ve yaygınlaşmıştır. Performans
denetimi (operational audit, performance audit), bir örgütün faaliyetlerinin verimlilik
10
ve etkinliğini değerlemek amacıyla bu faaliyetlerle ilişkili usul ve yöntemlerin
uygulanışının gözden geçirilmesini kapsar. Faaliyet denetiminde, denetçilerden
tarafsız gözlemlerde bulunması ve belirli faaliyetlerin ayrıntılı analizini yapması
beklenir. Faaliyet denetiminde, faaliyet sonuçları verimlilik standartlarıyla
karşılaştırılır ve örgütün önceden belirlenmiş amaç ve hedeflere ulaşıp ulaşmadığı
ölçülür. Denetimin kapsamı, örgütün tamamı veya bir bölümü, bir şubesi ya da
üretim, finans, pazarlama gibi bir fonksiyonu olabilir. Performans denetimi, işletme
politikası ve belirlenmiş stratejiler ışığında amaçlara ne derece ulaşılmış olduğunu,
yöneticilerin kişisel başarılarının derecesini ve faaliyetlerle ilgili finansal nitelikli
olmayan her türlü konuları araştırır (Yüzgün, 1995: 14; Kenger, 2001: 8).
Performans denetimi her türde denetçi tarafından yapılabilirse de,
uygulamada bu faaliyetin genellikle iç denetçiler ve devlete bağlı kamusal denetçiler
tarafından sürdürüldüğü görülmektedir.
Performans denetimi, faaliyet denetimi veya yönetim denetimi olarak da
anılmaktadır ve genellikle mali tabloların denetiminden veya uygunluk denetiminden
daha güçlü bir denetimdir (Erdoğan, 2001: 4). Başlıca zorluk faaliyetlerin
etkinliğinin ve verimliliğinin nesnel olarak saptanmasındadır. Performans denetimi
çok kapsamlı olduğundan, bunun türlerini saymak ve tanımlamak da zordur. Bir
işletmeden yürütülen performans denetiminin amacı, yeni bir makine alımı kararına
etki yapan bilgilerin geçerliliğini ve yeterliliğini saptamak iken, diğer bir işletmedeki
performans denetiminin amacı, satış faaliyetinin etkinliğinin ve verimliliğinin
belirlenmesi olabilir. Performans denetimi mali nitelikte olmayan faaliyetleri de konu
alır.
Performans denetiminde fiili durumun karşılaştırılacağı, olması gereken
durumlarla ilgili ölçütlerin saptanması, büyük ölçüde özneldir. Bu açıdan performans
denetiminde denetçi mevcut başarının doğrudan doğruya ölçülüp raporlanması
eylemini değil, bu başarının iyileştirilmesi ile ilgili tavsiyelerini belirtme yolunu
seçer. Geliştirilecek ve düzeltilecek alanları tanımlar ve öneriler geliştirir (Erdoğan,
2001: 4).
11
1.3.1.4. Ekonomik Denetim (Bütünleşik Denetim, Sistemci Denetim)
Ekonomik denetim (economic audit, systematic audit, overall audit), finansal
tablolar denetimi ile uygunluk ve performans denetimlerinin birlikte yürütüldüğü ve
raporlandığı bir denetim türüdür. Ekonomik denetim kapsamında; bir taraftan
kuruluşun faaliyetlerinin yürürlükteki mevzuata uygun olarak yapılıp yapılmadığı,
diğer taraftan finansal tablolarının yürürlükteki mali mevzuata ve genel kabul
görmüş muhasebe standartlarına uygun olup olmadığı ayrıntılı bir inceleme yapmak
suretiyle ortaya konulmakta, öte yandan kuruluşa tahsis edilen kaynakların tüm
işletme fonksiyonları dikkate alınarak rasyonel esaslara göre etkinlik, verimlilik, ve
tutumluluk ilkeleri doğrultusunda kullanılıp kullanılmadığı ölçülür ve bu doğrultuda
önerilerde bulunur (Kenger, 2001: 7).
Ekonomik denetimde temel amaç performans denetimi olup, mali tablolar
denetimi ve uygunluk denetimi ile desteklenmektedir. Uygunluk denetimi, ekonomik
denetim kapsamında temel bir amaç olmayıp, performans denetimi ve finansal
tablolar denetimi birlikte yürütülürken, denetlenen kuruluşun mali işlemlerinin ve
faaliyetlerinin belirlenmiş yöntemlere, kurallara veya mevzuata aykırı uygulamaların
tespit edilmesi durumunda söz konusu olmaktadır.
1.3.2. Denetimin Statüsüne Göre Türleri
Denetimin statüsüne göre türleri İç Denetim ve Dış Denetim olarak ikiye
ayrılmaktadır.
1.3.2.1. İç Denetim (Internal Auditing)
İç denetim, yönetimin kendi tasarruflarını denetlemesidir (Polat, 1998: 6). İç
denetim, örgüt faaliyetlerinin ve uygulayıcılarının yaptıkları işlem ve işlerin
uygunluk ve etkinliğinin, üretilmiş her türlü bilginin güvenirliğinin mevzuat,
12
finansman, muhasebe ve diğer tüm yönlerden bu amaçla çalışan iç denetçi adı verilen
kişilerce araştırılıp, incelenip üst yönetime rapor edilmesidir (Kenger, 2001: 8).
Diğer bir anlatımla iç denetim, örgüte hizmet amacıyla örgütün tüm faaliyetlerini
incelemek ve değerlemek için örgüt içinde kurulmuş bağımsız bir değerleme
fonksiyonudur. Kısaca iç denetim, finansal denetimi, uygunluk denetimini ve
performans denetimini kapsamaktadır. Amacı işletme varlıklarının her türlü zararlara
karşı korunup korunmadığını, faaliyetlerin saptanmış politikalarla uyum içinde
yürütülüp yürütülmediğini araştırmaktır (Güredin, 1994: 15).
İç denetimin finansal denetim yönü, finansal tabloların doğruluğunu
araştırılmasından çok, finansal tablolara temel oluşturan muhasebe bilgilerinin
doğruluk ve güvenirliğini araştırmak ve bu bilgileri elde etmek için kullanılan kayıt
ortamını ve raporlama sistemini gözden geçirmektir. Yine, iç denetimin finansal
denetim kapsamına hata ve hukuka uygun olmayan işlemlerin bulunması, önlenmesi
ve kayıtlarda var olan varlıkların işletmede mevcut olup olmadığının belirlenmesi de
girmektedir. İç denetim, örgüt faaliyetlerinin yönetim politikalarına, planlarına,
programlarına ve yasalara uygunluğunu ölçerek, iç kontrol sisteminin amacına uygun
işleyip işlemediğini değerlendirir. İç denetim, örgütün iç kontrol sisteminin
etkinliğini değerlendirdiği için aynı zamanda, bizzat kendisi iç kontrol aracıdır. İç
kontrol sisteminin etkinliğinin gözden geçirilmesi çalışmaları, iç denetimin uygunluk
denetimi yönünü oluşturur.
İç denetim, denetim alanı itibariyle çok geniş bir kapsama alanını içerse de;
özü, yapısı, fonksiyonları ve denetim sonuçları yönlerinden örgütün üst yönetimiyle
sınırlıdır. Çünkü iç denetçiler örgütün bizzat kendi personelidir ve bu nedenle iç
denetçiler üst yönetimin belirlediği çerçeve içerisinde denetim fonksiyonu yerine
getirmek durumundadırlar. Yapısı gereği iç denetim, örgüt üst yönetiminin
kararlarına, planlarına, programlarına, hedef ve stratejileri ile iç ve dış mevzuata vb.
uygunluk dışında bir denetim fonksiyonu üstlenemez.
13
1.3.2.2. Dış Denetim (External Auditing)
Dış denetim bağımsız muhasebe uzmanı tarafından yapılır. Mali tabloların, ait
oldukları işletmenin mali durumu ile faaliyet sonuçlarını doğru olarak yansıtıp
yansıtmadığının ve genel kabul görmüş muhasebe prensiplerine uygunluğunun
incelenip sonucun bir raporla ortaya konulması dış denetimdir (Çömlekçi, 1980: 6).
Diğer bir ifade ile dış denetim, örgütün, kendi personeli olmayan denetçilerden
oluşan, örgütle doğrudan ilgili, bağlı vb. şekilde organik bağı olmayan bağımsız ve
farklı bir tüzel kişiliği olan denetim organı, grubu veya kişisi tarafından
denetlenmesidir.
Dış denetim, bağımsız denetim ve kamu denetimi şeklinde ikiye ayrılır.
a) Bağımsız Denetim (Independent Auditing); müşterilerine profesyonel
denetim hizmeti sunan, serbest meslek sahibi olarak kendi adına çalışan veya bir
denetim kurumuna/firmasına bağlı olarak faaliyet gösteren denetçi veya denetçiler
tarafından işletmenin talebi ile ve bir denetim sözleşmesi çerçevesinde işletmelerin
finansal tablolarının denetimi ile uygunluk ve performans denetimlerinin
yapılmasıdır. Bağımsız denetimde asıl amaç finansal denetimdir.
Bağımsız denetçiler, denetim çalışmalarını planlamak ve gerekli durumlarda
iç kontrol sisteminin yapısı hakkında yönetim kadrosuna bilgi vermek amacıyla iç
kontrol sisteminin yapısını incelerler. Bağımsız denetçi iç kontrol sistemini güvenilir
bulup bulmamasına göre yapacağı denetim çalışmasında kullanacağı denetim yöntem
ve tekniklerini, denetimin kapsamını ve denetimde harcayacağı zamanı belirler. Yani
kısacası bağımsız denetçinin hazırlayacağı denetim programı büyük ölçüde
işletmedeki iç kontrol sisteminin etkinliğine bağlıdır (Akay, 1995: 102; Güredin,
1994).
Bağımsız denetçiler tarafından yapılan mali tabloların denetimi, muhasebenin
bir dalı olmayıp, muhasebe ve diğer işlemlerin sonuçlarına ve verilere dayanan
bağımsız bir disiplin olarak ortaya çıkmıştır Bağımsız denetim yönetimin mali
14
işlemleri değerlendirmesinde ve yorumlamasındaki olumlu ve olumsuz yönleri
belirler ve bir yerde işletmenin mali tabloları üzerinde onay fonksiyonu üstlenir.
Bağımsız denetim tarafından yapılan denetimlerin büyük bir kısmının
muhasebe bilgileri ile ilgili olması ve bağımsız denetim yapan birçok denetçinin
muhasebe konusunda uzman olması gerektiğinden, bazen muhasebe ve denetim
kavramları birbirine karıştırılmaktadır. Bir çok ülkede bağımsız denetçilere
muhasebe uzmanı veya benzer bir unvan verilmesi bu karışıklığı daha da
artırmaktadır.
Muhasebe, karar alıcılara mali bilgi sağlamak amacıyla bir örgütün veya
bireysel bir işletmenin ticari ve mali nitelikteki işlem ve onaylarına ilişkin verilerin
kaydedilmesi, sınıflandırılması ve özetlenmesi sürecidir. Bu sürecin sonunda mali
tablolar ve işletme yöneticileri için muhasebe raporları düzenlenir. Muhasebeciler
karar alıcılara kararları ile ilgili bilgileri sağlamak için gerekli bilgilerin
hazırlanmasında temel alınan genel kabul görmüş muhasebe kavramlarını, ilkelerini
ve standartlarını bilmek zorundadırlar. Bağımsız denetimde, muhasebe tarafından
sunulan bilgiler denetimin konusunu oluşturur ve denetim kaydedilen bilgilerin
muhasebe döneminde meydana gelen mali ve ticari işlemleri gerektiği gibi yansıtıp
yansıtmadığını belirler. Genel kabul görmüş muhasebe kavramları, ilke ve
standartları muhasebe bilgilerinin gerektiği gibi kaydedilip kaydedilmediği
değerlemede ölçüt olduğundan, denetçi bu konuları bilmek zorundadır.
Bağımsız denetçinin muhasebe konusunda uzman olmasına ek olarak,
denetim kanıtlarını toplamada ve değerlemede de uzman olmalıdır. Bu uzmanlık
bağımsız denetçiyi muhasebeciden ayıran temel unsurdur. Bağımsız denetçiler
tarafından gerçekleştirilen uygunluk ve performans denetimi bir zorunluluk olmayıp,
genelde işletmelerin talebi üzerine yapılmaktadır.
Bağımsız denetçiler kâr amaçlı işletmelere, kâr amacı olmayan işletmelere ve
kamu kurum ve kuruluşlarına hizmet verebilirler. Bağımsız denetçiler serbest meslek
faaliyeti sürdüren kişilerdir. Bağımsız denetçiler faaliyetlerinde bağımsız olarak
15
çalışırlar ve hizmetleri karşılığında denetledikleri kişi veya kuruluşlardan ücret
alırlar.
b) Kamu Denetimi (Public/State Auditing/Supervision); görev ve yetkilerini
yasalardan alan ve kamu adına, kamunun ihtiyaçlarını karşılamak üzere denetim
yapan kişi ve kurumlarca gerçekleştirilen mali tablolar, uygunluk ve performans
denetimlerini ifade eden kamusal bir fonksiyondur (Kenger, 2001: 16).
Kamu denetim kuruluşları, çeşitli devlet kurumları içinde örgütlenmiş olup;
kuruluşların faaliyetlerinin yasalara, devletin ekonomi politikasına, kamu yararına
uygunluk düzeyini araştırır ve denetler. Yine kamu denetim kuruluşları bağlı
oldukları kamu birimlerine denetledikleri kuruluşlar ve olaylarla ilgili olarak rapor
verirler.
Kamu kesiminde yer alan dış denetim kuruluşları amaç ve fonksiyonlarına
bağlı olarak yapılanmaktadırlar. Bu kuruluşların görev alanları ve yetkileri,
bünyelerinde yer aldıkları kamu otoritesinin statüsüne, denetimi kapsamında bulunan
kamu kuruluşlarına, özel statülü kuruluşlara ve özel işletmelere bağlı olarak
değişebilmektedir. Kamu kesiminde yer alan bazı denetim kuruluşları hem iç
denetim kuruluşu hem de dış denetim kuruluşu özelliklerini birlikte
taşıyabilmektedirler ve dolayısıyla Kamu denetim kuruluşları; iç denetim kuruluşu,
dış denetim kuruluşu veya aynı anda hem iç hem de dış denetim kuruluşu
olabilmektedirler. Örneğin bakanlıklar denetim organlarının, bakanlıklarına bağlı
kurum ve kuruluşlardaki denetim görev ve yetkileri iç denetim, bakanlıklarına bağlı
olmayan kurum ve kuruluşlardaki denetim görev ve yetkileri ise dış denetim
kapsamında değerlendirilmektedir.
1.4. GENEL KABUL GÖRMÜŞ DENETİM STANDARTLARI
Denetim, bir doğruluk, uygunluk ve akılcılık sorgulaması olduğundan,
denetim faaliyetinin bizzat kendisinin hakkında da kalite ve güvenirlik
16
sorgulamasının yapılması bir zorunluluktur. Denetimde kalite ve güvenirliğin
güvencesi ise, denetim faaliyetinin önceden belirlenmiş ölçütlere uygunluğuna
bağlıdır. Bu belirleme bizi denetçinin niteliklerine ve denetim sürecinin geneline
yönelik denetim standartlarına ulaştırır. Denetim standartları bir yerde yapılan işin
kalitesine ilişkin ölçütler bütünü olup, hem kişisel özellikleri itibariyle denetçiyi,
hem de başından sonuna kadar tüm denetim sürecini kapsar.
Denetim standartları, denetçiye mesleki sorumluluğunu yerine getirmesinde
yardımcı olan, ona denetim faaliyetinde ışık tutan genel ilkelerdir. Yapılan denetimin
uygun ve geçerli kabul edilebilmesi için denetçinin bu ilkelerden hiçbir şekilde
ayrılmaması gerekir.
Meslek örgütlerince kabul edilmiş ve denetim kuruluşları ile denetçilerin
uymak zorunda oldukları standartlara "Genel Kabul Görmüş Denetim Standartları"
denilmektedir. Bu standartlar ilk defa 1947 yılında Amerikan Yeminli Serbest
Muhasebeciler Enstitüsü (American Institute of Certified Public Accountants-
AICPA) tarafından kabul edilmiştir. AICPA tarafından yayınlanan bu standartlar, bir
çok ülkede benimsenmiş ve günümüze çok az değişikliğe uğrayarak gelmiştir. Birçok
ülkenin kamu denetim organları ve muhasebe kuruluşları denetim standartları
yayımlamışlardır. Yine Uluslararası Yüksek Denetleme Kurumları Birliği
(International Organization of Supreme Audit Institutions- INTOSAI) tarafından da
en son 1995 yılında denetim tarafından yayınlanan denetim standartları büyük oranda
benzerlikler göstermektedir.
Bu nedenle bu çalışmada daha çok AICPA tarafından yayınlanan "Genel
Kabul Görmüş Denetim Standartları" dikkate alınmış ve muhasebe denetimine ilişkin
olan standartlar genel standartlara dönüştürülmüştür.
17
1.4.1. Genel Standartlar
Genel Kabul Görmüş Denetim Standartlarının birinci bölümü genel
standartlara ayrılmıştır. Bu standartlar denetçilerin karakterleri, davranışları ve
mesleki eğitimleri ile ilgili esasları içerir. Bu açıdan bu standartlara kişisel standartlar
adı da verilir.
1.4.1.1. Mesleki Eğitim ve Deneyim
Denetim bir uzman olarak gerekli teknik eğitim ve yeteneğe sahip kişi veya
kişilerce yapılmalıdır (Roger, 1976: 14). Denetçiler tarafından düzenlenen denetim
raporlarının kullanıcıları, denetim görüşünü bildiren denetçiyi veya denetçileri
tanımaz. Kullanıcılar için önemli olan güvenilir nitelikte bir denetim görüşünün
bildirilmiş olmasıdır. Güvenilir ve kaliteli bir denetim görüşüne ulaşmak için bu
işlevi yürüten denetçinin belirli bir mesleki eğitime, deneyime ve yeteneğe sahip
olması ve denetim faaliyetini tam bir bağımsızlık ile yürütmesi zorunludur. Bu da
özellikle ilgili fakültelerde eğitim görmeyi ve diploma almayı gerektirmektedir
(Akın, 2001: 31).
Mesleki yeterlilik denetçiler için birinci genel standart tarafından zorunlu bir
koşul olarak aranmaktadır. Bu standarda göre, denetim faaliyeti ancak gerekli teknik
eğitim ve yeteneğe sahip uzman kişilerce yürütülmelidir. Genel olarak denetçilik
yeterliliğini almış kişilerin gerekli teknik bilgi ve yeterliliğe sahip olduğu varsayılır.
Ancak denetçilik belgesini almak için kişinin sınava tabi tutulması gerekir. Bu
sınavda denetçinin teorik bilgi düzeyi ölçülür ve denetçi yardımcısı olarak mesleğe
başlarlar. Diğer bir çok meslekte olduğu gibi denetim mesleğinde de iş başında
eğitim çok önemlidir. Bu eğitim genel olarak deneyimli uzman bir denetçinin
yanında yardımcı denetçilik yapılarak sürdürülür. Uzman denetçiler kendi mesleki
bilgi ve deneyimlerini yanlarında çalışan genç yardımcı denetçilere aktararak onların
mesleki açıdan üstün nitelikli uzman denetçiler olarak yetişmelerine çaba harcar. Bu,
denetçilik mesleğinin öngördüğü yüce bir davranıştır. Denetçi yardımcılığı süresi
18
sonunda yeterlilik sınavına tabi tutulan denetçi yardımcıları bu sınavı da başarmaları
halinde denetçi yeterlilik belgesini kazanarak denetçi olurlar.
Başarılı bir denetçi yakın geçmişte kazandığı mesleki eğitimin, yakın gelecek
için yeterli olmadığını düşünen bir kişidir. Bu açıdan başarılı denetçinin kendisini
durmadan yenilemesi gerekir. İyi bir denetçi çeşitli eğitim programlarına devam
ederek, mesleki yayınları izleyerek kendini yeniler, etkinlik ve verimliliklerini
artırarak birinci genel standardın öngördüğü düzeyde bir denetçi olarak kalmaya çaba
gösterir. Başarılı bir denetçi müşterileri ile, birlikte çalıştığı üst ve astlarla ve ilişkide
bulunacağı tüm kişilerle iyi geçinmek zorundadır. Günümüzde bir işletmeyi sadece
teknik, ekonomik ve finansal yönleri ile ele alıp, beşeri ve psikolojik yönünü ihmal
etmek uygun olmayan bir düşünüş biçimidir (Polat, 1998: 7).
1.4.1.2. Bağımsızlık ve Tarafsızlık
İkinci genel standart denetçilerin bağımsız düşünme mantığı içinde olmalarını
öngörmektedir. Bağımsızlık denetim mesleğinin temelini oluşturur. Tarafsız ve
dürüst davranma olarak tanımlanan bağımsızlık denetçilerin vazgeçemeyecekleri bir
niteliktir. Denetim görevi ile ilgili tüm konularda denetçi veya denetçiler bağımsız
düşünme mantığı içinde olmalıdır. Bağımsızlık, denetim çalışmalarının dürüst ve
tarafsız olarak yürütülmesini sağlayacak anlayış ve davranışlar bütünü olarak
algılanmalıdır.
Denetim raporlarını kullananlar denetçilerin bağımsız olduğuna inanırlar.
Böyle bir inanç denetçilik mesleğinin varlığı için en önemli güvencedir. Kullanıcılar
denetçinin bağımsızlığını kuşku ile karşıladıkları durumlarda, denetçinin bildirmiş
olduğu denetim görüşü onlar için bir anlam taşımayacaktır. Böyle bir durumda da bir
denetim işlevinden söz edilemez. Bu bakımdan denetim görevi yapanlar adalet
dağıtımı ile yükümlü yargıç kadar tarafsız ve bağımsız, ön yargılardan uzak bir tutum
içinde olmalı ve denetim sonunda kanaatlerini belirtirken sadece kendi iradelerine
19
bağlı kalmalıdırlar. Bağımsızlık, denetçinin hazırladığı rapora güvenme olarak
yansıyacaktır (Erdoğan, 2001: 9).
1.4.1.3. Mesleki Özen
Bu standarda göre mesleki yeterliliği sahip ve bağımsız davranan her denetçi
görevini sürdürürken ve raporunu düzenlerken mesleki özen ve titizliği
göstermelidir. Bu bakımdan denetim görevlilerinin denetim çalışmalarında, denetim
ilke ve kurallarına eksiksiz uymaları, yeterli miktarda ve ihtiyaca cevap verecek
nitelikte ve güvenirlikte kanıt toplamaları ve bunlara göre değerlendirme yapmaları
vazgeçilmez bir zorunluluk olarak kabul edilmelidir. Bir iç denetçi, mesleki dikkat ve
özen ile görevini gerçekleştirirken, yanlış işlemler, hatalar, ihmal edilen unsurlar,
verimsizlik ve çıkar çatışması gibi unsurlarla karşılaşma olasılığına hazırlıklı
olmalıdır. Buna ilaveten iç denetçiler, yetersiz denetimleri tespit ve uygun prosedür
ve uygulamalara uygunluğun arttırılması için tavsiyelerde bulunmalıdırlar (Dicle,
1997: 40).
Bu standart kaliteli bir denetim yapılması açısından genel bir açıklamayı
getirmektedir. Denetçiden beklenen onun uzmanlığını özen ve titizlilikle ortaya
koymasıdır. Gereken titizlik ve çabayı göstermeyen bir denetçi meslek ahlakına
aykırı davranmış olur. Mesleki özen ve titizliğin gösterilmesi bir yerde denetçinin
tüm denetim standartlarına eksiksiz bir biçimde uyması ile sağlanır. Özenli ve titiz
davranan denetçi, denetim faaliyetini düzgün bir biçimde planlar, yeterli sayıda kanıt
toplayarak inceler, temiz ve düzgün çalışma kağıtları hazırlar, finansal tablolar
hakkında dürüst bir yargıya ulaşır ve bu yargısını kılı kırk yaran bir titizlikle
düzenleyeceği denetim raporunda açıklar (Dicle, 1997: 41).
1.4.2. Çalışma Sahası Standartları
Çalışma alanı standartları genel standartlara oranla daha özeldir. Çalışma
alanı standartları denetçiye güvenilir bir denetim görüşüne ulaşmak için kanıt
20
toplamada ve kanıtları değerlemede kılavuz olur. Bu temel denetim adımları, birer
standart olarak denetim sürecinin kavramsal alt yapısını oluşturur (Erdoğan, 2001:9).
1.4.2.1. Planlama ve Gözetim
Çalışma alanı standartlarından birincisi denetim çalışmasının iyi bir şekilde
planlanmasını ve varsa denetçi yardımcılarına iyi bir şekilde nezaret edilmesini
öngörmektedir. Denetimde planlama çalışmaları hazırlanırken işgücü planlaması,
zaman planlaması ve kaynakların verimli kullanımının planlaması yapılmalıdır
(Güredin, 1994: 29).
Denetim görevlileri, denetlenecek kuruluşun kendisi ve faaliyet gösterdiği
alan hakkında bilgi sahibi olmalıdır. Uygun bir denetim planlaması yapabilmek için
kuruluşun organizasyon yapısı, kuruluş yeri, ürettiği mal veya hizmetlerin niteliği,
yatırımları, alımları, pazarlama faaliyetleri, finansal yapısı, iş ilişkisinde olduğu
üçüncü kişiler gibi birçok konuda bilgi toplanmalıdır. Denetçi bu konularda bilgi
sahibi olduktan sonra Genel Kabul Görmüş Denetim Standartlarının öngördüğü
kalitede bir denetimin gerçekleştirilmesi için uygun bir denetim planı hazırlar.
Denetimin planlanması, daha etkin ve zamanında bir denetim yapılmasının koşuludur
(Özgen, 2001: 23).
Planlama ile ilgili çalışmalar ayrı ayrı belgelenerek bir denetim programı
hazırlanır. Planlamada eğer dahil olunan denetim kuruluşunun bir denetim kılavuzu
varsa bu kılavuz denetimin planlanmasında yol gösterici olacaktır. Denetim
programında izlenecek yol ve denetim işlemleri ayrıntılı biçimde gösterilir. Ancak bu
bir ön planlama olduğundan, denetimin yürütülmesi sırasında ortaya çıkacak
koşullara göre, programda gerekli düzeltmeler ve ilaveler yapılır (Özgen, 2001: 25).
Denetim görevinin yürütülmesi sırasında denetçi yardımcılarından
yararlanılır. Denetçi yardımcılarının faaliyeti, denetimin yürütülmesinden sorumlu
olan uzman denetçi tarafından sıkı bir şekilde kontrol edilir. Bu kontrol hem uygun
21
ve kaliteli bir denetimin gerçekleştirilmesi ve hem de denetçi yardımcılarının iyi bir
biçimde eğitilip yetiştirilmeleri açısından gereklidir.
Denetçi yardımcıları, sorumlu denetçinin verdiği direktifler dahilinde,
denetim programlarına uygun olarak görevlerini yerine getirmeye çalışırlar. Denetim
programlarında veya varsa denetim kılavuzlarında, gerekli denetim kanıtlarının
toplanması için nasıl bir yol izleneceği ayrıntılı olarak belirtilmiştir. Denetçi
yardımcıları, çalışmaları sırasında sık sık sorumlu denetçiye başvurarak takıldıkları
konularda yardım isterler ve konuların kendi açılarından aydınlanması için sorumlu
denetçi ile mesleki tartışmalarda bulunurlar. Sorumlu uzman denetçilerin denetçi
yardımcıları üzerindeki gözetimlerinin sınırının ne olması gerektiği konusunda kesin
kurallar bulunmamaktadır. Ancak bu gözetimin kapsamı (Güredin, 1994: 29);
Denetçi yardımcısının genel ve mesleki bilgi düzeyine,
Denetçi yardımcısının konusundaki deneyimine,
Denetim konusunun zorluk ve karmaşıklık derecesine bağlıdır.
1.4.2.2. İç Kontrolün İncelenmesi
Denetim yöntemlerinin bağlı olduğu testlerden alınacak sonuçların
saptanması amacıyla ve güvenilir bir temel olarak mevcut iç yönetim ve iç kontrolün
gereği gibi incelenmesi ve değerlendirmesi yapılmalıdır.
Bu standart denetimin kapsamı ve sınırlarının denetlenen kuruluşun iç kontrol
sisteminin değerlendirilmesinden sonra kararlaştırılmasıdır. Bir kuruluşta etkin bir iç
kontrol sisteminin bulunması, yayınlanan raporların ve bilgilerin doğruluk ve
güvenirlik derecesini artırır. Etkin bir iç kontrol sisteminin bulunması raporların ve
bilgilerin hatalı olma riskini azaltır. Hata riskinin az olması ise denetim görüşüne
ulaşmada gerekli olacak denetim işlemlerinin sayı ve kapsamının daralmasına neden
olur. Çalışma alanı standartlarından ikincisi denetçinin iç kontrol sistemini gözden
geçirip, bir değerleme yapmasını öngörmektedir. Bu standarda göre iç kontrol
sisteminin gözden geçirilip değerlemesinin yapılmasında iki amaç bulunmaktadır.
22
Birincisi, sistemin kendisine olan güveninin araştırılarak sistemin etkinliğinin
saptanmasıdır. Kuruluşun sahip olduğu iç kontrol sistemi ne kadar etkin ise,
denetçinin güveni o kadar fazla olacak ve buna bağlı olarak da denetim riski
azalacaktır. Bu denetçinin denetim adımlarının yönünü ve uygulayacağı tekniklerin
ölçüsünü belirlemeye de yarayacaktır (Uzay, 1999: 41).
İkincisi ise, uygun bir denetim görüşüne ulaşmada uygulanacak denetim
işlemlerinin kapsamını ve ayrıntı derecesini belirlemektir. Bu ise denetçinin
hazırlayacağı denetim programı büyük ölçüde kuruluştaki iç kontrol sisteminin
etkinliğine veya zayıflığına bağlıdır.
İşletme yönetimi, sorumluluklarını yerine getirmede iç kontrolü değerli bir
araç olarak kabul etmişlerdir. Bağımsız denetçiler de muhasebe kayıtlarının güvenilir
olması sonucu test edecekleri işlem sayısını azaltmışlar ve böylece denetimi
kolaylaştırmışlardır. Ayrıca işletmelerin iç kontrol faaliyetlerini geliştirmek için çaba
sarf etmişlerdir (Horward, 1982: 54).
1.4.2.3. Kanıt Toplama
Denetim konusu olan olaylar ve konular hakkında bir görüşe varmak için
makul bir temel sağlayacak kanıtlar, soruşturmalar, gözlemler, araştırmalar yoluyla
yeter ölçüde yararlı bilgiler elde edilmelidir. Çalışma alanı standartlarından
üçüncüsü, bir denetim görüşüne ulaşmadan önce yeterli miktarda uygun kanıt
toplanmasını öngörmektedir. Ne kadarlık bir miktarın yeterli olacağı denetçinin
yargısına kalmıştır. Denetçi toplayacağı denetim kanıtlarının miktarını kuruluşun iç
kontrol sisteminin etkinliğine, denetlenen olayın niteliklerine ve de genel olarak
denetlenen kuruluşun durumuna göre belirleyecektir.
Denetim konusuyla ilgili olarak yeterli sayıda kanıt toplanmasının yanı sıra
bu kanıtların uygun kanıtlar olması da gerekmektedir. Buradaki uygunluk aynı
zamanda kalite anlamındadır. Buna göre denetçi yeterli sayıda kaliteli kanıt
23
toplamakla yükümlüdür. Miktarda olduğu gibi, kanıtın uygunluğunun belirlenmesi
de denetçinin yargısına kalmaktadır. Genel olarak bir denetim kanıtının kalitesine
etki yapan etmenler; kanıtın geçerliliği, nesnelliği, zamanlılığı ve sürekliliğidir
(Güredin, 1994: 31).
Denetim kanıtları, denetlenen kuruluş tarafından hazırlanarak denetçiye
verilebileceği gibi, denetçi tarafından çeşitli denetim yöntem ve işlemleri
uygulanarak kuruluş içinden veya kuruluş dışından toplanabilir. Denetim kanıtları
elde edildikleri kaynaklar açısından aşağıda belirtildiği gibi bir sınıflandırmaya tabi
tutulurlar (Güredin, 1994: 32):
• Fiziksel olarak varolanın saptanması amacıyla denetçinin fiziki
incelemeleri sonucu elde edilen direkt kanıtlar. Başlıca örnekler; stokların fiziken
varolduklarının saptanması, kasanın sayımı, binalar, arsa, ve diğer sabit varlıkların
yerlerinde görülerek varlıklarının saptanması.
• İç ve dış mevzuata uygun olarak davranılıp davranılmadığını saptamak
amacıyla denetçinin araştırmaları ve gözlemleri sonucu toplanan uygunlukla ilgili
kanıtlar. Başlıca örnekler; varlıkların çalınmaya karşı korunması amacıyla
öngörülmüş güvenlik önlemlerinin uygulanmakta olup olmadığının gözlem yoluyla
saptanması, görev ve sorumluluk talimatları kapsamında çalışanların görevlerini
sürdürüp sürdürmediklerinin saptanması (Poyraz, 1993: 44).
• Denetlenen işletmenin dışındaki kişilerden alınan sözlü ifadeler. Belirli bir
yasal durumla ilgili olarak denetçinin müşteri işletmenini avukatından aldığı sözlü
ifadeler örnek olarak vermek mümkündür.
• Müşteri işletmeden veya iş görenlerden alınan sözlü ifadeler. Başlıca
örnekler; işletmenini iç kontrol sistemi hakkında alınan sözlü bilgi, işletmenin satış
politikası hakkında alınan sözlü bilgi, belirli bazı yevmiye kayıtları ile ilgili olarak
alınan açıklayıcı sözlü bilgiler olarak sıralanabilir.
24
• İşletme içinde hazırlanan belgesel kanıtlar. Satış faturaları, mal sipariş
pusulaları, alındı kağıtları, standart muhasebe fişleri, büyük defter ve diğer muhasebe
kayıtları.
• İşletme dışında hazırlanarak müşteriye gönderilen ve müşterinin dosyaları
arasında saklanan belgesel kanıtlar. Banka hesap özetleri, banka dekontları, satıcı
faturalarını örnek olarak vermek mümkündür.
• İşletme dışı kaynaklarca hazırlanarak doğrudan doğruya denetçiye
gönderilen dış belgesel kanıtlar. Doğrudan doğruya denetçiye gönderilen banka
hesap özeti, denetlenen işletmenini iş ilişkisi içerisinde olduğu kurumlar tarafından
doğrudan denetçiye gönderilen mektuplar, doğrulamalar.
• Denetçi tarafından düzenlenen analitik kanıtlar. Aritmetik işlemlerin
doğruluğunu araştırmak için denetçinin yaptığı yeniden hesaplamalar, tutar
aktarmalarının doğruluğunun araştırılması, oran analizleri, eğilim analizleri,
regresyon analizleri olarak sıralanabilir.
1.4.3. Raporlama Standartları
Kullanıcılar açısından mesleki bir incelemenin yapılmış olduğu konusundaki
tek kanıt denetim raporudur. Bu açıdan denetim raporunun mesleki bir görüşle
hazırlanması ve kullanıcılara sunulması gereklidir. Raporlama standartları denetim
raporunun yapısı ve hazırlanması ile ilgili ilkeleri içerir. Toplum içi haberleşmenin
ve bu konuda ortak bir kullanma zorluğu, raporlama standartlarının genel standartlara
ve çalışma alanı standartlarına oranla çok daha kesin ve özel olmalarını gerektirir.
Ağırlıklı olarak dış denetime ve amacı itibariyle de özellikle finansal denetime
yönelik olan AICPA tarafından yayınlanmış olan Genel Kabul Görmüş Denetim
Standartlarının her türlü denetim faaliyetleri için değişmeden geçerli olması söz
konusu değildir. Doğal olarak yapılan denetimin özelliğine göre farklı standartlar da
saptanabilir. Özellikle AICPA tarafından yayınlanan raporlama standartları tamamen
25
finansal denetime yöneliktir. Uygunluk denetimi ve performans denetiminde veya
diğer farklı denetim konularında farklı standartlar, özellikle raporlama standartlarının
olabileceği doğaldır. Raporlama standartları, denetim sonucunun yazıyla
bildirilmesine ilişkin standartlardır. AICPA tarafından yayınlanan Genel Kabul
Görmüş Denetim Standartlarından genel standartları ile çalışma alanı standartları tüm
denetim mesleği için geçerli olsa da, özellikle raporlama standartları sadece finansal
tablo denetimi (muhasebe denetimi-auditing) geçerlidir. Ancak tüm denetim
mesleklerinde, denetim sonucunda denetim görüşü bildirme yükümlülüğünün
getirdiği, raporlama standardı zorunluluğu AICPA tarafından yayınlanan raporlama
standartlarına çok da aykırılık oluşturmamaktadır (Kenger, 2001: 22).
1.4.3.1. Genel Kabul Görmüş Muhasebe İlkelerine Uyum
Denetim raporu, finansal tabloların genel kabul görmüş muhasebe ilkelerine
uygun olarak düzenlenip düzenlenmediğini belirtmelidir. Uzman denetçi; finansal
tabloların genel kabul görmüş kuruluşun finansal durumunu, finansal durumundaki
değişiklikleri ve faaliyetlerle ilgili sonuçları doğru ve dürüst bir biçimde sunduğu
konusunda bir yargı bildirmektedir. Denetçinin böyle bir yargıya ulaşması için
dürüstlükle ilgili belirli ölçütlerden yararlanması gerekir. Bu ölçüt ise genel kabul
görmüş muhasebe ilkeleridir. Bu standart, denetçinin raporunda genel kabul görmüş
muhasebe ilkelerine uyulup uyulmadığı konusunda bilgi vermesi gerektiğini açıkça
öngörmektedir. Muhasebe uygulamalarını yönlendiren tüm teamüller, kurallar ve
işlemler genel kabul görmüş muhasebe ilkelerinin çerçevesini belirler. Denetçi de bu
ilkelere uygunluğu araştırmak ve görüşünü de bu ölçütlere göre oluşturmak
durumundadır (Özkan, 2000: 24).
1.4.3.2. Devamlılık
Denetim raporu, muhasebe ilkelerinin geçmiş dönemle bağlantılı olarak cari
dönemde de değişmeden uygulanmış olup olmadığını açıkça belirlemelidir.
26
Süreklilik ilkesi dönemlere ait finansal tabloların karşılaştırılabilmesine olanak
sağlar. Finansal tabloların karşılaştırılabilmesi için bunların dayanağı olan ilkelerin
yıldan yıla değişmemiş olmaları zorunludur. Ancak geçerli nedenlerin bulunduğu
durumlarda kuruluşlar uyguladıkları ilke ve yöntemlerde değişiklik yapabilirler.
Ancak bu değişiklikler ve bunların parasal etkileri finansal tabloların dipnotlarında
açıklanır. Denetçi, bir önceki döneme göre değişiklik yoksa bunu raporunda
belirtmez, fakat değişiklikler varsa bu değişiklikleri raporunda belirtmelidir. Böylece
ilgili okuyucu finansal durumda meydana gelen değişikliklerin ne kadarının
muhasebe ilkelerinde değişiklikler nedeniyle, ne kadarının ise gerçek faaliyetler
sonucu ortaya çıkmış olduğunu ayırıp anlayabilecektir. Finansal tabloları okuyanları
aydınlatmak amacıyla muhasebe ilkelerinde yapılan değişiklikler, bu değişikliklerin
etkileri ve böyle bir değişikliğe gidilmesinin gerekçesi dipnotlarda yeterli ayrıntı ile
sunulmalıdır (Akın, 2001: 37).
1.4.3.3. Açıklayıcı Bilgiler
Finansal tablolardaki bilgi verici açıklamalar, raporda aksi belirtilmedikçe
makul ölçüde yeterli sayılmalıdır. Finansal tablolar çeşitli gruplara alacakları
ekonomik kararlar için gerekli olan geçerli bilgiler sunarlar. Karar alıcılar için bu
bilgiler zamanında, eksiksiz, geçerli ve tarafsız olmalıdır. Bu bilgilerin kimler
tarafından kullanılacağı ve hangi tür ekonomik kararlara dayanak olacakları denetçi
tarafından bilinemez. Finansal tablolar mümkün olduğu kadar fazla kullanıcıya hitap
edebilmek için geniş amaçlı olarak düzenlenir. Denetçi finansal tablolarda yer alması
gereken açıklayıcı notları da inceleyerek, bu tabloların kendilerinden beklenen amacı
yerine getirip getirmediklerini araştırır. Yeterli derecede açıklamanın olmaması
durumunda denetçi raporunda bunu belirtir (Güredin, 1994: 35).
Açıklayıcı bilgiler sadece hangi bilgilerin açıklanması gerektiği ile ilgilidir.
Bu bilgilerin açıklanma biçimi de çok önemlidir. Finansal tablolarda yer alan
bilgilerin düzeni, kullanılan sınıflandırma sistemi ve başlıklar ile ilgili terminoloji
açıklama ilkeleri kapsamındadır. Açıklayıcı dipnotlar yönetimin finansal tabloları
27
tamamlayıcı nitelikte verdiği bilgiler olup, okuyucu için çok önemlidir. Bu
dipnotların hazırlanması sırasında dikkat edilecek husus önemli bilgilerin kısa ve öz
olarak sunulması olmalıdır. Açıklayıcı notların gereksiz bilgilerle donatılmış
bulunması, önemli bilgilerin diğer bilgiler arasında boğulup gözden kaçmasına yol
açar.
1.4.3.4. Denetçi Görüşü
Yürütülen denetimin sonucu denetim raporunda açıklanır. Denetim raporu, ya
bir bütün olarak finansal tablolarla ilgili bir görüşün bildirilmesini kapsamalı ya da
bir görüş bildiremiyorsa bu durumu nedenleriyle birlikte açıklamalıdır. Finansal
tablolarla birlikte denetçinin adının geçtiği bütün durumlarda, denetim çalışmasının
niteliği ve varsa denetçinin üstlendiği sorumluluk derecesi denetim raporunda yer
almalıdır. Bu standart denetçinin finansal tablolarla olan ilişkisinin ve aldığı
sorumluluğun derecesinin belirtilmesini de zorunlu kılmaktadır. Denetim raporuyla
finansal tabloların kullanıcıları, denetçinin görüşüne güvenerek, finansal tablolardaki
bilgileri doğru ve güvenilir kabul ederler ve alacakları kararlarda kullanırlar (Kenger,
2001: 23).
Denetçi denetlediği finansal tablolarda, genel kabul görmüş muhasebe
ilkelerine uyulduğu, tüm gerekli bilgilerin tam açıklama kuralına uygun biçimde
belirtildiği, devamlılık ilkesine uyulduğu ve önemli aksaklık ve düzensizliklerin
bulunmadığı görüşüne ulaşmış ise, bu yargısını olumlu bir denetim görüşü bildirmek
yoluyla açıklar (Kenger, 2001: 23).
Denetçi, raporunda aksini belirtmedikçe, finansal tablolarda ve eklerinde
gerekli her bilginin yer aldığı, yani tam açıklama ya da yeterli açıklama ilkesine
uyulduğu anlamı çıkarılmalıdır. Sonuçta denetçinin finansal tablolara ilişkin
görüşünü denetim raporunda ortaya koyması ve görüş ortaya koyamıyorsa bunu
nedenleriyle açıklaması gerekmektedir (Erdoğan, 2001: 10).
28
1.5. DENETİMİN SÜREÇLERİ
Denetim işlevinin gerçekleşmesi birbirini izleyen aşamalardan oluşan bir
süreç biçimindedir. Yönetimin bu işlevi olan denetimin süreçlerinin de yönetim
süreçlerine benzemesi doğaldır.
1.5.1.Veri Sağlama
Denetim çalışmalarına başlamadan önce denetim çalışmalarına karar vermek
ve plan hazırlamak üzere gerekli düzenlemelerin yapılması gerekmektedir. Veri
sağlama süreciyle denetim çalışmalarının içeriği, kapsamı ve çerçevesine ilişkin
veriler belirlenmekte, elde edilen veriler değerlendirilerek yorumlar yapılmaktadır.
Bu süreç düşünme, danışma, inceleme ve araştırmalar yapma ve elde edilen
verileri çözümleme aşamalarını içermelidir. Bu sayede denetim standartlarının
belirlenmesi sağlanmış olmaktadır.
Denetçi, denetlenecek işletmeyle ilgili olarak temel bilgileri toplamalıdır.
İşletmenin faaliyet gösterdiği iş kolu ve özellikleri, uygulanan muhasebe politikaları
ve yöntemleri, iç organizasyonlar ve yöneticilerle ilgili bilgiler, şirketin yasal
ilişkileri ve iktisadi faaliyetleri ile ilgili raporları ve tabloları kesinlikle
değerlendirilmedir.
1.5.2.Karar Alma
Denetim faaliyetlerini gerçekleştirecek denetçi denetime ilişkin kararlar
almak durumundadır. Denetimden beklenen amacın sağlanması ve denetçinin amaca
ulaşması alınan kararların doğruluğuna ve yeterliliğine bağlı bulunmaktadır.
Denetçi, denetim çalışmalarının her aşamasında belli kararlar almak
durumuyla karşılaşmaktadır. Kararların yeterli araştırma sonucunda elde edilecek
29
verilere dayandırılması, kararların inandırıcılığı ve etkinliğini belirleyen temel
etkendir. Kararlarda yeterli dayanak ve kanıt yoksa kişisel görüş ve inanışların
ağırlığı artar. Bu durum yanlış sonuçlara yol açabilir. Böylece denetçiye ve denetime
duyulan güven sarsılacaktır. Bu nedenle karar alma sürecinin tartışmaya yol
açmayacak, yeterli araştırma ve incelemelere dayandırılması gerekmektedir (Kenger,
2001: 24).
1.5.3. Planlama
Denetim planlaması, denetim görüşüne ulaşmada denetçilerin faaliyetleri ne
şekilde yürütecekleri hususundaki davranış düzenini ifade eder. Planlama süreci
amaçlara ulaşmak üzere izlenecek politika ve yöntemlerin belirlenmesini içermelidir.
Planlamanın işletme amaçlarına göre mikro ve makro düzeyde olması
ve önceliklerin belirlenmesi gerekmektedir.
Planlama çalışmaları, her şeyden önce dağınıklığı önlemektedir. Denetim
çalışmaları için harcanacak zaman ve emek bakımından büyük tasarruflar
sağlanmaktadır. Denetlenen faaliyetlerin kontrolü ve değerlendirilmesinde etkinlik
kazanılmaktadır.
Hazırlanacak denetim planı esnek olmalıdır. Bu plan denetim sırasında
meydana gelebilecek değişikliklere her zaman uyabilecek bir şekilde, çeşitli
ihtimaller dikkate alınarak hazırlanmalıdır. Genel olarak denetim planı denetim
sürecinin ilk safhalarında oldukça esnek bir biçimde hazırlanırken, denetim sürecinin
sonuna yaklaştıkça planının esnekliği de gittikçe azalmaktadır (Corns, 1986: 94).
1.5.4. Organizasyon
Örgütleme çalışmaları sırasında kişiler arası ilişkilere önem verilmektedir.
Gerçekleştirilecek çalışmalar için yetki, görev ve sorumluluklar belirlenmeli ve
30
dağıtımı yapılmalıdır. Denetçi takımının yapısı oluşturulurken sorumluluk, gözetim,
teknik bilgi ve deneyim ile ilgili hususlar değerlendirilmelidir.
Örgütleme işlevi mevcut örgütleme düzeninin geliştirilmesini de
kapsamalıdır. İşletmenin merkez yönetimi ve taşra ya da alt birimlerinin gerek birim
gerekse çalışanlar bazında mevcut örgütlenmesi incelenerek değerlendirilir.
Değerlendirme sonuçlarına göre işletme amaçlarına en uygun organizasyon ortaya
konmalıdır.
1.5.5. İletişim
İletişim süreci kişi ve gruplar arasında ilişkileri geliştirmek ve sağlamak üzere
işletme içi haberleşmenin sembol, kavram ve anlamlarla sağlanması sürecidir.
Denetçi, üst yönetim ile denetlenen birimler arasında köprü görevi
görmektedir. Denetim çalışmalarında elde edilen bilgileri ve varılan sonuçları üst
yönetime ileterek üst yönetimin bilgilendirilmesini sağlamaktadır. Yönetilenlerden
üst yönetime mesajlar göndererek geri bilgi akışı sağlanmaktadır. Ayrıca üst
yönetimin hedefleri ve planları hakkında ve diğer talimatların içeriği konusunda
denetlenen birimlere bilgi akışını sağlamaktadır. Sonuç olarak yönetimin karar, hedef
ve diğer emirlerinin içeriği ve nasıl uygulanması gerektiği konusundaki talimatlar
ilgililere açıklanmaktadır.
1.5.6. Etkilenme
Bu aşamada denetlenen birimin yönetilmesi ve kontrol edilmesi yoluyla karar
sürecinin etkilendirilmesidir. Denetlenen birimin karar alma süreci önerilerde
bulunma, güdüleme, geliştirme, ödüllendirme, örnek verme gibi yollarla değişiklik
konusunda etkilenmektedir.
31
Denetçi gerçekleştirdiği denetim faaliyetleri sonucunda gerek denetlediği
birimin gerek üst yönetimin karar sürecini etkilemektedir. Denetim çalışmalarında
denetlenen birim ve üst yönetim denetim raporları ile denetim sonuçlarından bilgi
sahibi olmaktadır. Öneriler ve görüşler doğrultusunda yeni kararlar alınmakta ya da
alınmış kararların uygulaması değiştirilmektedir. Denetçi görüşlerinin yeterli kanıt ve
araştırmalara dayandırılması sonucunda, denetçinin önerilerinin uygulama oranı o
derece yüksek olmaktadır.
1.5.7. Koordinasyon
Koordinasyon, işletmenin sahip olduğu kaynakları işletme amaçlarına
ulaşacak faaliyetler doğrultusunda birleştirme, güçleri bir arada toplama ve kararları
uygulama çabasıdır. Ortak amaca yönelik bir iş birliği sistem ve mekanizması olup,
zaman bakımından ayarlamayı, faaliyetlerin birbiri adına gelmelerini ve iç içe
geçerek kenetlenmelerini bu yolla bütünleşmeyi sağlayıcı çalışmaları kapsamaktadır
(T.C. Ziraat Bankası Teftiş Kurulu Yönetmeliği, Madde 15).
Etkin bir koordinasyon sağlanabilmesi için iyi bir iletişim sisteminin varlığı
gerekmektedir. Bu sayede farklı birimler ve bireyler birbirlerinin çalışmalarından
haberdar olmakta, bir uyum sağlamaya çalışmaktadırlar. Aksi takdirde çabaların
yoğunluğu istenilen ölçüde etkinlik sağlamayacaktır.
Öte yandan denetim kendi faaliyetleri içinde de koordinasyonu sağlamalıdır.
Denetçilerin çalışmaları koordine edilmeli, birleştirilmeli ve birbirlerine uymaları
sağlanarak farklılaşmalar ve sapmalar önlenmelidir.
1.5.8. Düzeltici Önlemlerin Alınması
Bu aşamada daha önceden üst yönetim tarafından belirlenen hedefler, kamu
otoritesi tarafından belirlenen yasal düzenlemeler ve yönetim tarafından belirlenen iç
32
düzenlemeler fiili durumla karşılaştırılmaktadır. Karşılaştırma sonucunda ortaya
çıkan farklılıklar belirlenmektedir.
Değerlendirmede, özellikle, farklılıklar ya da sapmalar öncelikle incelenir ve
kaynakları belirlenir. Olumlu sapmalarında kaynakları belirlenerek uygun nitelikleri
içeriyorsa yaygınlaştırılması ya da geliştirilmesi yoluna gidilmektedir.
Denetçi önlemler konusundaki görüş ve önerilerini düzenlediği raporlar
aracılığı ile belirtir. Denetlenen birimin verimlilik ve etkinliğini arttıracak diğer
önerilerinde raporda yer alması gerekmektedir.
İşletme yönetimi makro ve mikro düzeyde önerilen önlemlerin niteliğine göre
işletme yönetim kararlarında gerekli düzenlemeleri yapmak suretiyle denetim
çalışmalarının yaşama geçirilmesini sağlamaktadır.
1.6. DENETÇİ TÜRLERİ
Denetçi, denetim faaliyetini yürüten, yeterli mesleki bilgi ve denetime sahip,
bağımsız davranabilen yüksek ahlaki nitelikler taşıyan ve çalışmalarında yeterli özeni
gösteren uzman bir kişidir. Denetçiler yaptıkları denetim faaliyetlerinin içeriğine ve
konularına göre üç gruba ayrılmaktadırlar:
1.6.1. Bağımsız Denetçiler
Bağımsız denetçiler, denetimini yaptıkları işletmeyle işçi işveren ilişkisi
içinde olmayan, müşteri olan işletmelere profesyonel denetim hizmeti sunan ve bir
denetim işletmesinde görevli olan uzman kişilerdir. Bağımsız denetçiler, eğitimleri,
deneyimleri ve bağımsız olma nitelikleri ile çeşitli denetim işlevlerini en iyi şekilde
sürdürebilecek yetenekteki kişilerdir.
33
Bağımsız denetçilerden beklenen, işletmenin mali tablolarında yer alan
bilgilerin temelde, genel kabul görmüş muhasebe ilkelerine uygunluk derecesi
hakkında bir görüş bildirmektir. Bağımsız denetçilerden denetlenen dönemde oluşan
muhasebe hareketlerini yüzde yüz incelemeleri beklenmemelidir. Denetçi, kendisinin
belirleyeceği bir sayıda ve önemlilikte belge ve kayıtları inceleyerek genel bir görüşe
ulaşmaktadır. Denetim raporunda varılan sonuç, denetçinin görüşünü yansıtmaktadır.
Denetçi, bir denetim çalışmasında yapılması gerekenleri yapmakla sorumlu
tutulmaktadır. Buna karşın ortaya çıkan aksaklıklardan ve işletme ilgililerinin
karşılaşacakları zararlardan işletme yönetimi sorumlu olmaktadır.
Bağımsız denetçilerin asıl görevleri işletmelerin mali tablolarını
denetlemektir. Bunun yanında yaptıkları çeşitli hizmetleri aşağıdaki gibi sıralamak
mümkündür (Bozkurt, 1998: 32):
• İşletmelere vergi konularında danışmanlık yapmak,
• Çeşitli konularda yönetim danışmanlığı yapmak,
• Muhasebe sistemleri kurmak veya mevcut durumu incelemek ve önerilerde
bulunmak,
• İç kontrol yapısını oluşturmak,
• İşletmeler adına çeşitli kurumlarda temsil görevini yürütmek,
• Kamu kurumlarının işletmelerden istediği belge ve bilgilerin onaylanması
işlevini yerine getirmek olarak sıralanabilir.
Denetçiler de aynen avukatlar ve doktorlar gibi serbest meslek sürdüren
kişiler olup, bir ücret karşılığında faaliyet gösterirler. Bağımsız denetçiler belirli bir
sınavı geçip bu faaliyeti yapma yetki ve fermanını kazanmış uzman kişilerdir.
34
1.6.2. İç Denetçiler
İç denetçiler, işletmenin çalışanı olarak, işletme bünyesinde kurmay görevi
üstlenmiş kişilerdir. Bu hizmeti sunan bölüme "İç Denetim Bölümü" adı verilir. İç
denetimin amacı genel olarak, organizasyonun yöneticilere sorumluluklarını etkin ve
verimli bir şekilde yerine getirmelerinde yardımcı olmaktır. Bu genel amaca ulaşmak
için iç denetçiler şu faaliyetleri yerine getirirler.
• Finansal kontrollerin, muhasebe kontrollerinin ve diğer faaliyetlerle ilgili
kontrollerin sıhhatini, yeterliliğini ve uygulanmasını dikkatle gözden geçirerek
değerlemek ve uygun maliyetli etkin kontrol sistemlerini geliştirmek ve uygulatmak
(Poyraz, 1993: 29),
• Faaliyet ve işlemlerin belirlenmiş politikalara, planlara ve yönergelere
uygunluğunu soruşturmak (Peker, 1983: 318),
• İşletmenin varlıklarının her türlü zararlara karşı korunmakta olduğunu
araştırmak,
• Yönetimin düzenleyip sunduğu her türlü bilginin doğruluk ve
güvenirliliğini araştırmak,
• Üstlenilen sorumlulukların yerine getirilmesi ile ilgili faaliyetlerin
kalitesini araştırmak,
• Faaliyetlerle ilgili gerekli iyileştirme önlemlerini yönetime tavsiye etmek,
• İşletme yönetiminin istediği özel araştırmaları yapmak,
• Bağımsız denetçilerle iş birliğine girmek (Sawyer, 1973b: 5).
İç denetçilerin faaliyetleri sonucu ulaştıkları bulgular doğrudan doğruya o
işletmenin yöneticileri ve yönetim kurulları tarafından kullanılır. Bunun yanı sıra, iç
denetim kurulunun işletmedeki iç kontrol sistemi ile ilgili olarak hazırladığı rapor
bağımsız denetçinin çalışmalarına ışık tutar. İç denetçiler, bağımsız denetçilerin
gerekli gördüğü hallerde onlara yardımcı olur. İç denetçilerin faaliyetlerini
sürdürmede ve iç denetim raporunu düzenlemede tarafsız davranmaları beklenir.
35
1.6.3. Kamu Denetçileri
Kamu denetçileri, kamusal örgütlere bağlı olarak çalışan denetçilerdir. Çeşitli
devlet kurumları içinde kurulup örgütlendirilmiş olan bu denetim birimleri kamu ve
özel işletmelerin yasalara, yönetmeliklere, devletin ekonomik politikasına ve kamu
yararına bağlılık derecesini izler ve denetler. Devlet denetçileri olarak da
adlandırabileceğimiz kamu denetçileri, istihdam edildikleri kendi kuruluşlarının
denetimlerini yapmalarının yanı sıra, vergi yükümlülerinin de vergi yasalarına uyup
uymadıklarını ve beyanlarının doğru olup olmadığını incelerler (Öztürk, 1998: 21).
36
TABLO - 1: İç Denetçi Ve Dış Denetçinin Karşılaştırması Tablosu
NİTELİKLER İÇ DENETÇİ DIŞ DENETÇİ
Görevlendirmesi İşletme yönetimince atanır. İşletmenin çalışanıdır.
Şirketin yapmış olduğu sözleşme uyarınca görev yapar
Amaç İşletmenin ihtiyaçlarına hizmet eder.
Güvenilir finansal bilgiye ihtiyaç duyan 3.kişilere hizmet eder.
Görev Kapsamı Örgütte; etkinlik, yeterlik ve ekonomiklik için her türlü faaliyet ve kontrolleri inceler.
Öncelikle bilanço ve gelir tablosu hesaplarını inceler
Lisanslama Lisanslama mecburi olmamakla birlikte Sertifikalı İç Denetçi (CIA) lisansı alınabilmektedir.
Lisanslama zorunludur. Sertifikalı Kamu Muhasebecisi (CPA), ülkemizde ise SMMM ya da YMMM olması gerekir.
Hataların Bulunması ve
Önlenmesi
İşletmenin faaliyetleri sırasındaki her türlü hatanın bulunması ve önlenmesi ile doğrudan ilgilidir.
Hatanın mali tablolar üzerindeki etkisi önemli ölçüde ise doğrudan ilgilenir.
Sorumluluk Yönetim Kuruluna
Kusurlu olduklarında hukuki ve cezai sorumlulukları bulunmaktadır.
Eğitim İç Denetim Enstitüsü Sertifika Programı
Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü
Bağımsızlık Derecesi
Denetim faaliyetleri bağımsızdır. Ancak yönetimin ihtiyaç ve isteklerine uymak zorundadır.
Her açıdan yönetimden ve yönetim kurulundan bağımsız olması esastır.
Çalışma Zamanı Denetim çalışmaları yıl boyunca devam eder.
Genellikle yılda bir defa ve dönem kapandıktan sonra denetim yapar.
Çalışmaların Ayrıntı Derecesi
İşletme faaliyetleri ile ilgili ayrıntılı çalışmalar yapar.
37
İKİNCİ BÖLÜM
2. İÇ DENETİM VE RİSK YÖNETİMİ AÇISINDAN
BANKA İŞLETMELERİ VE KARŞILAŞILAN SORUNLAR
2.1. GİRİŞ
İşletmeler, 20 veya 30 yıl öncesine göre faaliyette bulundukları çevre
itibariyle önemli ve hızlı bir değişim ile karşı karşıya bulunmaktadırlar. Bu değişimin
temel dinamikleri, mal ve hizmetlerde globalleşme, teknolojilerde hızlı bir şekilde
gelişen yenilikler (innovation), talepteki hızlı değişim ve ürün ömrünün kısalması,
otomasyon ve enformasyon teknolojilerinin yaygınlaşması olarak sayılabilir.
İşletmelerde ilk dönemlerde çok dar ve sınırlı bir görev alanını kapsayan iç
denetim fonksiyonu da bu değişime paralel olarak önemli ölçüde değişmiş ve
değişimini sürdürmektedir. Günümüz dünyasında iş çevresinin çok hızlı değişmesi iç
denetçiyi bu değişime ayak uyduracak esneklikte olmaya zorlamaktadır.
İç denetim, kurumun her türlü etkinliğini geliştirmek, iyileştirmek ve kuruma
değer katmak amacıyla, bağımsız ve tarafsız bir şekilde güvence ve danışmanlık
hizmeti vermektir. İç denetçiler, risk yönetimi, iç kontrol ve yönetim süreçlerinin
etkinliği ve verimliliğinin değerlendirilmesi ve geliştirilmesi için sistematik
yaklaşımlar geliştirerek kurumun hedeflerinin gerçekleştirilmesine yardımcı olurlar.
İç denetim ve risk yönetimi, kurumun amaç ve hedeflerine ulaşmasına dönük
olarak kuruma değer katmaya çalışır. Bu amaçla, kuruma yönelik yeni hedefler
belirlenmesinde ve geliştirmesinde yardımcı olur. İç denetim, sürekli ve disiplinli,
risk değerlemesine dayanan bir denetin anlayışı benimsediğinden bir kurumda etkin
bir risk yönetiminin kurulmasına yardımcı olur.
38
2.2. İÇ DENETİM KAVRAMI
Denetim, Latince Audire, İngilizce audit (işitmek, incelemek, anlamak)
kelimesinin Türkçe karşılığı olup, Türk Dil Kurumu tarafından, bir işin doğru ve
yönetime uygun olarak yapılıp yapılmadığını incelemek, teftiş etmek, kontrol etmek
anlamında tanımlanmıştır (Örenay, 2005: 1). İç denetim, bir kuruluşun faaliyetlerine
değer katmak ve bu faaliyetleri geliştirmek üzere tasarlanmış, bağımsız ve nesnel bir
sağlamlama ve danışmanlık faaliyetidir. Risk yönetimi, kontrol ve kurumsal yönetim
süreçlerinin değerlendirilmesi ve etkinliğin geliştirilmesinde sistematik ve disiplinli
bir yaklaşım sunarak kuruluşun hedeflerinin gerçekleştirilmesine katkıda bulunur
(Basel Komite, 2000: 2).
Modern iç denetim oluşumu, 1941 yılında İç Denetçiler Enstitüsünün
(Institute of Internal Auditors) kurulmasıyla gerçekleşmiştir. İç denetimin
Sorumlulukları Hakkında Tebliğ İç Denetçiler Enstitüsü tarafından 1947 yılında
yayınlanmıştır. İç Denetim Mesleki Uygulama Standartları ise aynı Enstitü
tarafından 1978 yılında yayınlanmıştır (Yörüker, 2003: 1). Bununla birlikte, özellikle
son yıllarda denetçiler, yöneticiler ve muhasebeciler iç denetimi tanımlamaya,
irdelemeye, rapor etmeye ve mevcut denetim sistemlerini iyileştirmeye yönelik
çalışmalarını arttırmışlardır. Bu kapsamda iç denetimi tanımlamaya yönelik olarak
dört ayrı meslek kuruluşunun yapmış olduğu çalışma sonuçları rapor halinde
yayınlanmıştır. Bilgi Sistemleri Denetim ve Kontrol Kurumu (ISACF) tarafından
1995 yılında yayınlanmış olan COBIT Raporu, İç Denetçiler Enstitüsü Araştırma
Kurumu (IIARF) tarafından 1991 yılında yayınlanan ve 1994 yılında revize edilen
SAC Raporu, Treadway Komitesi (TC) tarafından 1992 yılında yayınlanan COSO
Raporu ve Amerikan Yeminli Muhasipler Kurumu (AICPA) tarafından 1988 yılında
yayınlanan 55 no.lu, 1995 yılında yayınlanan 78 no.lu tebliğler, iç denetim kavramını
ağırlıklı olarak mesleki perspektife dayalı olarak tanımlama amacı güden
çalışmalardır (Colbert ve Bowen, 1998: 1).
İç denetim, işletme içinde uygulanan tüm kontrolleri kapsamaktadır. İç
denetim ne şekilde sınıflandırılırsa sınıflandırılsın iç denetimin tanımı
39
değişmeyecektir, çünkü her denetim sistemi belirlenen amaçların
gerçekleştirilmesine ve bu amaçların gerçekleştirileceğine yeterli ölçüde güven
duyulmasına yönelik olarak kurulmaktadır (Sawyer, 1988a: 90). İşletme içindeki
servislerin fonksiyonlarını yerine getirirken izlenen yöntem ve işlemlerinin güncel
olup olmadığı veya güncelliğini koruyup korumadığı ancak denetimle
anlaşılabilmektedir (Uman, 1985: 25).
İç denetim, işletmenin, kendi iç kontrollerinin tatmin edici düzeyde işlediğini
teyit etmek amacıyla kendi yararına sürdürdüğü bir denetimdir. Dış denetim her
zaman finansal konularla ilgilenmesine rağmen, iç denetimin zorunlu konusunun
finansal konular olması gerekmez. Kapsamında finansal, uygunluk ve faaliyet
denetimleri yer alabilir. Özellikle halka açık anonim ortaklıklarda ortak sayısının
çokluğu ve ortaklık grubunun arz ettiği nitelik bakımından, iç denetim yalnızca bir iç
kontrol olmaktan çıkmakta ve ortaklık işlerinin gidişatını tarafsız olarak aksettirmeye
yarayan bir faaliyet halini almaktadır (Poroy ve Diğerleri, 1997: 331).
İç denetimin günümüzdeki anlamına aşağıda belirtilen aşamalardan geçerek
ulaştığı görülmektedir (Pickett, 2003: 2):
• Kurum içinde iç işlemlerin çek edilmesi süreci,
• İşlem bazlı sürekli denetim anlayışı,
• İstatistik yöntemler kullanarak denetim,
• Olasılık esasına dayalı bir yaklaşımla denetim,
• Anlık belirli noktaların çek edilmesine yönelik denetim,
• Risk analizine dayalı denetim,
• Sistem tabanlı yaklaşımla denetim,
• İdari işlemlerin de denetim kapsamına dahil edilmesi,
• Yönetim denetimi,
• Risk odaklı denetim.
Görüldüğü üzere risk odaklı iç denetim günümüzde denetim anlayışının en
yeni ve son şeklini teşkil etmektedir. İç denetim, günümüz işletmelerinin ihtiyaçları
40
dikkate alındığında geriye dönük klasik denetimi kapsamakla birlikte, mutlaka ileriye
dönük olmalı, daha iyiye ve yeniliğe dayalı değişimi hedeflemelidir. Maliyet
düşürücü, yenilik getirici, sistemleri sorgulayıcı, iş ve hizmetlerin kalitesini
yükseltici, eğitici, etkin, ekonomik ve verimliliği arttırıcı olmalıdır. Değişime ve
yeniliklere açık ve dinamik, idarenin iş ve işlem akışlarına, iç kontrol
mekanizmalarının ve idari sistemlerin çalışmalarına bağlı olarak doğabilecek riskleri
proaktif biçimde önceden öngörebilecek yapıda olmalıdır. Doğabilecek risklere
ilişkin proaktif tedbirleri almayı amaçlayan, çağdaş ve uluslararası standartlara
uygun, kaliteli ve üstün vasıflı objektif bir denetim niteliği taşımalıdır
(Aksoy,2002:62).
2.3. İÇ DENETİMİN AMACI VE İÇ DENETİMİ GEREKTİREN NEDENLER
İç denetim, işletme faaliyetlerinin amaç ve politikalara, kalkınma planına,
programlara, stratejik planlara, performans programlarına ve mevzuata uygun olarak
planlanmasını ve yürütülmesini, kaynakların etkili, ekonomik ve verimli
kullanılmasını, bilgilerin güvenirliliğini, bütünlüğünü ve zamanında elde
edilebilirliğini amaçlar.
İç denetim, nesnel güvence sağlamanın yanında, özellikle risk yönetimi,
kontrol ve yönetim süreçlerini geliştirmede idarelere yardımcı olmak üzere bağımsız
ve tarafsız bir danışmanlık sağlar. Danışmanlık hizmeti, idarenin, hedeflerini
gerçekleştirmesini sağlamaya yönelik prosedür ve uygulamaların sistemli ve düzenli
bir biçimde değerlendirilmesi ve geliştirilmesine yönelik önerilerde bulunması
yoluyla gerçekleştirilir (Maliye Bakanlığı, 2005).
İşletme kapsamında sürdürülen iç denetim faaliyetlerine gereksinim duyuran
nedenleri aşağıda belirtildiği gibi sıralamak mümkündür:
41
2.3.1. Sorumluluk ve Hesap Verebilme
Her işletmede, yöneticiler sahip oldukları yetki ve sorumluluklarının bir
kısmını kendilerine bağlı olarak çalışan kişilere devrederler. Tüm yöneticilerin
çalışanların görevlerini etkin ve verimli bir biçimde yerine getirip getirmediklerini ve
işletmenin hedeflerinin de bir parçasını oluşturan bireysel hedeflere ulaşıp
ulaşmadıklarını öğrenmesi gereklidir. Söz konusu bilgilenme faaliyetinde ne
yöneticilerin kişisel çabaları, ne de astların kendi faaliyetlerini raporlamaları
sırasında mevcut olan çıkar çatışması nedeniyle astların düzenledikleri raporlar tam
olarak yarar sağlamaz. Bu nedenle sistemlerin, usullerin, kontrollerin
değerlendirilmesi ve verimliliği ile hedeflere ulaşıp ulaşılmadığının belirlenmesinde,
iç denetçiler bilgi toplama, şartları analiz etme ve problemleri tanımlama
konularındaki mesleki yeterlilikleri nedeniyle belirtilen işlemleri yöneticilere
vekaleten yaparlar. Bununla birlikte söz konusu değerlendirme görevi ölçme,
onaylama ve tavsiyelerle sınırlıdır. İç denetçilerin yönetimin yerine geçerek
çalışanları görevlerini tanımlamamaları gereklidir. Aksi halde sahip olmaları gereken
en temel özellik olan nesnelliği kaybederler.
İç denetçiler temel olarak üst düzey yöneticiler de dahil olmak üzere her
kademedeki yöneticilerin görevlerini yerine getirmekteki performanslarını yönetim
kurulu adına incelerler. İşletmedeki iç denetçilerin yönetim kurulu ile doğrudan ilişki
kurabilmelerine imkan veren bir yönetmeliğin bulunması ve yönetim kuruluna
sunulacak tüm hususların üst yöneticilerle karşılıklı olarak tartışılması iç
denetçilerin, denetim bulgularını ve değerlendirmelerini herhangi bir endişeye maruz
kalmadan yönetim kuruluna ya da denetim komitesine sunabilmelerini sağlar
(Akarkarasu, 2000: 11).
42
2.3.2. Vekalet Teorisi
Günümüzde ticaretin büyük ölçülere ulaşması beraberinde şirketlerin de
ölçülerinin ve ölçeklerinin büyümesine yol açmıştır. Bu nedenle, aynı zamanda
yönetici olan işletme sahibinin yerini büyük ölçüde profesyonel yöneticiler
almışlardır. Yöneticiler, görevleri karşılığında uzun vadede daha fazla ücret alma
temel güdüsüyle hareket eden ve bu yüzden çoğu zaman işletme sahipleri ile
çatışabilecek kişisel amaç ve hedefleri bulunan kişilerdir. Bu nedenlerle, işletme
sahipleri yöneticilerin emanet ettikleri kaynakların etkin ve verimli olarak kullanımı
hususunda endişe duyarlar. Bununla birlikte işletme sahiplerinin yöneticilerin
görevlerinin yerine getirip getirmedikleri hususlarında yeterli değerlendirmeleri
yapacak zamanları ya da teknik ve metodolojik bilgileri yoktur.
İşletme sahipleri ve yöneticiler arasındaki bu ilişki vekalet akdine
benzetilmiştir. Bu kapsamda bir vekil olarak görev yapan yöneticinin söz konusu
ilişkiden doğan borçlarını yerine getirmesi sırasında ortaya çıkabilecek düzensizlikler
hakkındaki işletme sahibinin şüphelerini ortadan kaldıracak en önemli kontrollerden
biri yapılacak olan iç denetimlerdir. Bağımsız ve nesnel bir biçimde gerçekleştirilen
ve tatmin edici sonuçlar veren denetimler, yöneticilerin, taşıdıkları sorumlulukları
yerine getirdikleri hususunda işletme sahiplerini daha kolay ikna etmelerini sağlar.
Bu kapsamda iç denetçiler finansal ve finansal olmayan işlem ve olaylara konu olan
denetimler ile işletme sahibi ve yöneticiler arasındaki potansiyel çıkar çatışmasını
önlerler (Akarkarasu, 2000: 12).
2.3.3. Yönetime Danışmanlık ve Yardım
Modern bir iç denetçi yönetime yardımcı olacak nitelikte eğitim ve deneyime
sahiptir. Yetişmiş iç denetçiler işletmedeki hata ve hileleri açığa çıkarmak yanında,
43
ileride benzer sorunlarla karşılaşılmaması için yöneticilere danışmanlık ve eğitim
hizmeti de verebilirler.
Amerikan İç Denetim Enstitüsünün kabul etmiş olduğu tanımda da ifade
edildiği üzere "İç denetim bir kuruluşun faaliyetlerine değer katmak ve bu faaliyetleri
geliştirmek üzere tasarlanmış, bağımsız ve nesnel bir sağlamlama ve danışmanlık
faaliyetidir." Başta Bankacılık Gözetim Komitesi, iç denetim bölümü için özellikle
önem arz eden yansızlık ve nesnellik ihtiyacının, iç denetim bölümünün, aynı
zamanda, iç kontrollerin geliştirilmesi konusunda üst yönetime müşavirlik veya
danışmanlık yapmasına engel olmadığını belirtmektedir (Basel Komite, 2000: 2). İç
denetçilerin belirtilen nitelikte bir faaliyet yerine getirebilmeleri için planlama,
organizasyon, yönetim ve kontrol konularında bilgi sahibi olmaları ve olayları
profesyonel bir yönetici gözüyle değerlendirebilmeleri gerekmektedir. Bu niteliklere
sahip olan iç denetçiler, yönetim merkezli denetçi olarak adlandırılmaktadırlar.
2.3.4. Tasarruf İhtiyacı
Profesyonel olarak yürütülen denetimler sonunda tespit edilen eksikliklerin
düzeltilmesi konusunda da işletmeler maddi açıdan büyük tasarruflar sağlamakta ve
kazançlar elde etmektedirler. Maddi kayıpların ortaya çıkarılması ve düzetilmesi
bazen iç denetim biriminin yıllık maliyetini karşılayacak büyüklükte olabilmektedir
(İç Denetim Enstitüsü, 1995: 7).
2.3.5. Hileli İşlemlere Karşı Korunma İhtiyacı
Günümüzde, özellikle halka açık şirketlerde küçük pay sahiplerinin kar payı
alma gibi ortaklık haklarını tehdit eden en büyük tehlike işletmelerde meydana gelen
hileli işlem ve eylemlerdir. Bu hileli işlemlerin en tipik örneği halka açık şirketlerde,
büyük pay sahibi aile ya da kişilerin sahip oldukları diğer şirketler, küçük pay
sahiplerinin ve işletmenin zararına olarak, işletme karının örtülü olarak aktarılmasına
yönelik yaptıkları işlemlerdir (Akarkarasu, 2000: 13). Bununla birlikte, giderek
44
karmaşık hale gelen finansal araçlar ve finansal pazarlara bağlı olarak, şirket
dışından kişilerin yapmış oldukları incelemeler ile bu tür usulsüzlükleri ve hileli
eylem ve işlemleri tespit etmeleri olasılığı azalmakta ve daha maliyetli hale
gelmektedir. Bu nedenlerle, küçük pay sahiplerinin yönetsel açıdan herhangi bir
hakimiyet sağlayamadıkları şirketlerde iç denetim birimlerinin bir diğer önemli
görevi de işletme bünyesinde, çalışanlar, yöneticiler ve hatta yönetim kurulu üyeleri
tarafından yapılabilecek hileleri tespit etmek ve bunların meydana gelmesinin
önlenmesi için tavsiyelerde bulunmaktır.
Hileli eylem ve işlemler işletmenin çıkarı ya da zararı için işletme içinden
kişilerce gerçekleştirilmiş olabileceği gibi işletme dışından kişilerce de
gerçekleştirilebilir. Sözkonusu hileli işlemlerin ve işlemlere konu olan şirketlerin
niteliklerinin tespit edilmesi amacıyla yapılan çalışmalar arasında en yeni tarihli ve
kapsamlılardan biri, bilinen adıyla Treadway Komisyonu, COSO tarafından
oluşturulan bir araştırma grubunun 30.11.1999 tarihli "Hileli Finansal Raporlama:
1987-1997 Amerikan Halka Açık Şirketlerinin Bir Analizi" başlıklı raporudur
(Akarkarasu, 2000: 13).
2.4. İÇ DENETİM FAALİYETİNİN NİTELİKLERİ
İç denetim bir işletmedeki;
• Finansal ve operasyonel bilginin doğru ve güvenilir olup olmadığı,
• İşletmenin risklerinin tanımlanmış ve asgariye indirilmiş olup olmadığı,
• Dış düzenlemelerin ve kabul edilen iç politikaların ve usullerin izlenip
izlenmediği,
• Tatmin edici standartların oluşturulup oluşturulmadığı,
• Kaynakların etkin ve verimli bir şekilde kullanılıp kullanılmadığı,
• İşletmenin hedeflerine etkin bir biçimde ulaşılıp ulaşılmadığı,
hususlarının belirlenmesi ve işletmenin yöneticilerinin ve diğer üyelerinin görev ve
sorumluluklarını etkin bir biçimde yerine getirmelerinde destek olmak amacıyla tüm
45
işlemlerin ve kontrollerin iç denetçilerce, nesnel ve sistematik bir şekilde gözden
geçirilmesi ve onaylanmasıdır. Sözkonusu tanımın daha iyi anlaşabilmesi için
unsurlarına ayrılarak açıklanması yerinde olacaktır (Akarkarasu, 2000: 19).
2.4.1. Sistematik ve Nesnel Onay
Ekonomik bilgilerin, onun üretildiği sistem ve süreçle birlikte incelenmesi
denetimin belirli bir süre içindeki faaliyeti içerdiğini açık bir şekilde göstermektedir.
Bu bakımdan denetimi bir süreç olarak tanımlamak uygun olur. Aynı zamanda
denetimin tüm aşamalarında planlı, mantıklı ve bilimsel çalışmaların yapılacak
olması onun sistematik bir süreç özelliğini kazanmasını sağlar (Çömlekçi ve
Erdoğan, 1996: 6). İç denetim, konusuna tam olarak hakimiyeti ve iç denetim
standartlarının öngördüğü gerekliliklere uygunluk yeteneğini ifade eder. Bu
yetenekler iç denetçinin finans, muhasebe ve denetim konularına ek olarak yönetim
ve sosyal ilişkilerde de yeterli bilgi ve deneyime sahip olmasını gerektirir (Kurban,
1997: 24). Bu kapsamda nesnel onay için:
• İç denetçinin, iç denetim konusunda yetkin bir kişi olması gereklidir.
• İç denetçilerin bağımsız görüş oluşturabilmeleri için denetledikleri
süreçlerin oluşturulması ya da uygulanması aşamalarına katılmamaları gereklidir.
• İç denetçinin şirket organizasyonu içerisinde bağımsız bir konuma sahip
olması gerekir.
İç denetçi bulgularını açıklıkla sunamıyor ve bulgularını sonuçları objektif
olarak değerlendirmede kullanamıyorsa, işletmenin amaçlarına etkin bir biçimde
ulaşmasında yönetime yardımcı olamıyor demektir. Bu nedenle iç denetim birimi
raporlarını, bu raporlarını değerlendirebilecek ve gerekliliklerini yerine getirebilecek
yetkiye sahip bir yöneticiye ve özellikle denetim komitesine sunmalıdır(Kurban,
1997: 25).
46
2.4.2.Tüm İşlemler
İç denetçilerin mesleki faaliyetleri sırasında herhangi bir kısıtlama getirilmesi
kabul edilemez. Bu kavram, tüm finansal ve finansal olmayan işlemlerin gözden
geçirilmesi yanında tüm çalışanlara, ürünlere, kayıtlara ve imkanlara sınırsız olarak
erişimi kapsar (Kocabay, 1998: 12).
2.4.3. Doğru ve Güvenilir Bilgi
Yöneticilerin karar almalarında kullanılan finansal ve operasyonel bilgilerin
doğru, tamamlanmış, güvenilir, yararlı ve zamanında verilmiş bilgiler olup
olmadığının gözden geçirilmesini ifade eder (Çağrı, 1999: 14).
2.4.4. Risklerin Tanımlanması ve En Aza İndirilmesi
İşletmenin potansiyel kayıplarını ifade eder. İşletmelerin yetersiz kontroller
nedeniyle yüz yüze kaldığı riskler çok fazladır. Bu risklerin sebebi önemli görev ve
yetkilerin birbirinden ayrılmasındaki başarısızlıktan, kurumsal çıkar çatışması
politikası oluşturmaktaki başarısızlığa kadar uzanır. İç denetçilerin bu tür tehlikelere
karşı, riskler ortadan kalkana kadar gerekli inceleme ve denetimleri yapmaları
gereklidir.
2.4.5.Hukuka ve İşletme İçi Kural ve Usullere Uygunluk
İç denetçiler, işletmenin politikalarının, usullerinin ve kurallarının yeterli olup
olmadığını ve yararlı amaçlara hizmet edip etmediğini de belirlemesi gerekir.
Denetçiler, sözkonusu kural ve usullere uyulup uyulmadığını denetlemekle birlikte
bu usul ve emirlerin uygunluğunu da incelemesi kendilerinden beklenir (Sezer,
2001:20).
47
2.4.6. Kaynakların Etkin ve Verimli Olarak Kullanılması
Denetçinin, yönetime emanet edilen personel, fon, araç ve diğer kaynakların
en iyi ve masrafsız şekilde kurulduğundan emin olması gereklidir.
2.4.7. İşletmenin Amaçlarına Etkin Bir Şekilde Ulaşması
İşletmenin daha önce belirlenen amaçlara ve hedeflere ulaşıp ulaşmadığının
belirlenmesini ifade eder. Yukarıda yer alan tanım, iç denetçiye konulan kuralları
sorgulaması, tahminlere ulaşmayı engelleyecek eksikliklerin belirlenmesi, yalnızca
risklerin belirlenmesinden çok neyin yanlış olduğunun açıklanması görevlerini de
yüklenmektedir.
2.5. BANKANIN TANIMI
Banka terimi Türkçe karşılığı masa, sıra veya tezgah anlamına gelen İtalyanca
"Banco" kelimesinden gelmektedir. Tarihçiler bankanın ilk çıkış noktası olarak
zamanımızdan altı bin yıl öncesini göstermektedir. Gerçekten Sümerlerin Ourouk
sitesi etrafında gelişen ilk uygarlıklarından birinde milattan önce 3500 yılında
kurulan mabet, bilinen ilk banka kuruluşudur (Tezer ve Çolak, 1999: 14).
Yüzyıllardan beri birçok değişiklikler ve gelişmeler kaydederken, günümüzde en
mükemmel şeklini almaya başlamış olan banka konu ile ilgili çok sayıda yazar
tarafından, değişik şekillerde tanımlanmıştır. Banka, mevduat kabul eden, bu
mevduatı en verimli şekilde çeşitli kredi işlemlerinde kullanmak amacı güden veya
kısaca, faaliyetlerinin esas konusu düzenli bir şekilde kredi almak ya da vermek olan
bir ekonomik kuruluştur. Bankanın başka bir tanımı; para, kredi ve sermaye
konularına giren her çeşit işlemleri yapan ve düzenleyen, özel veya kamusal kişilerle
işletmelerin bu alandaki her türlü gereksinimlerini karşılama faaliyetlerini temel
uğraş konusu seçen bir ekonomik birimdir (Takan, 2001: 2).
48
Para ve kredi gibi klasik bankacılık işlemleriyle birlikte, kamusal yönü
ağırlıkta olan birçok ekonomik, sosyal ve teknik faaliyetlerin, uluslararası yapılaşma
ve kalkınma sorunlarının çözümünün bankalar verilmesi olağan hale gelmiştir
(Kandiller, 1996: 13). Bankalar, likit gereksinimi olan firmalara, bünyelerinde
tuttukları fonların gereksinimlerini aşan kısımlarını firmalara bu ihtiyaçları için kredi
olarak verirler (Zarakolu, 1994: 26).
Günümüzde bankaların faaliyet alanları o kadar artmıştır ki, bugünkü
özelliklerini tam anlamıyla kapsayan bir tanım vermek çok güçtür. Bankalar mevduat
toplar, kredi verir, fatura öder, fatura tahsil eder, sanayi kuruluşlarına ortak olur.
Borsa faaliyetlerine fiilen katılır, ülkenin kalkınmasını destekler, yönlendirir
(Eyüpgiller, 1988: 22). Bugünkü çağdaş banka işlemlerinin çok çeşitli ve karmaşık
olması, araçlarının genel ekonomideki etkinliği ve yönetimdeki özellik ve güçlük
nedeniyle klasik çağların bankalarından çok değişik ve seçkin bir kurum niteliği
kazanmış bulunmaktadır.
Bankaların para yaratma işlevlerinin olması ve makro ekonomik açıdan para
politikasının başlıca araçlarından biri olması nedeniyle, bankaların ciddi bir denetim
ve kontrol ortamı içerisinde çalışmalarını gerektirmiş ve ayrıca sektörün belirli bir
imtiyaza sahip olmasına yol açmıştır (Aksoy, 1998: 2).
2.6. BANKA İŞLETMELERİNİN FONKSİYONLARI
Bankaların faaliyet konuları, faaliyet gösterilen ülkenin ekonomik gelişmişlik
düzeyine ve uluslararası ilişkilerin genişliğine bağlı olarak farklılık gösterebilir.
Farklı nitelikteki bankacılık işlemlerini değişik kıstaslara göre yine farklı biçimlerde
bölümlemek mümkündür (Altuğ, 1996: 14). Günümüzde bankaların ekonomik
açıdan en önemli faaliyeti sermaye ile müteşebbisi karşılaştırmalarıdır. İşletmelerin
kısa vadeli kredi ihtiyaçlarını karşılamakta, mevduat ve diğer kaynaklardan sağladığı
fonları, işletmelere kredi olarak vermekte bir köprü görevi görerek, ülkenin
ekonomik hayatının gelişmesine katkıda bulunmaktadır (Takan, 2001: 60).
49
Bankalar bunu yanında ülkenin para politikasının etkinliğini artırmakta, para
politikasının yürütülmesinde gerekli araçları oluşturmaktadır. Uyguladıkları çeşitli
ödeme ve kredilendirme yöntemleri ile uluslararası ticaretin artmasına katkıda
bulunmaktadırlar. İzledikleri kredilendirme politikası ile ekonomide gelir ve servet
dağılımını etkileyebilmektedirler.Bankalar genel olarak dört temel fonksiyonu yerine
getirir. Bu fonksiyonlar şunlardır.
2.6.1. Kaynak Sağlama Fonksiyonu
Kaynak Sağlama Fonksiyonu, bankalarda iki kaynaktan fon sağlanır. Bunlar
özkaynaklar ve yabancı kaynaklardır. Özkaynaklar kendi bünyelerinden sağladıkları
kaynaklar, yabancı kaynaklar ise borçlanmak yolu ile üçüncü şahıslardan sağladıkları
kaynaklardır (Avery, 1991:15).
Özel kişilerden, kamu kurumlarından ve diğer bankalardan sağlanan mevduat
bankacılık faaliyetlerinin en önemli kaynağıdır. Mevduat toplanması ve toplanan
mevduatın kredi olarak plase edilmesi işlemleri, banka işletmeciliğinde en önemli ve
üzerinde en çok zaman harcanan işlemlerdir.
2.6.2. Fon Kullanma Fonksiyonu
Fon Kullanma Fonksiyonu, bankalar belirli bir maliyetle (ödenen faiz,
komisyon ve diğer giderler) sağladıkları fonları, belirli bir gelir karşılığında kullanma
yoluna gitmeleri, bankaların fon kullanma fonksiyonunu oluşturmaktadır. Fon
toplayıp fon arz etmek suretiyle mali sistemde kaynakların kullandırılmasıdır. İkinci
işlev esas olarak kredi verme işlemlerini kapsar. Bankalar müşterilerine ya para
vererek ya da müşterilerin banka itibarından yararlanmasını sağlamak suretiyle kredi
açarlar. Bu açıdan bakıldığında banka kredileri nakdi olup olmamasına göre iki
bölüme ayrılırlar (Sevilengül, 1998: 122):
50
a) Nakdi Krediler; belli bir faiz ve komisyon karşılığında borç para verilmesi
nakdi kredi işlemlerini oluşturur. Nakdi krediler müşterilerin lehtarı olduğu senetleri
iskonto etme, avans verme veya borçlu cari hesap açma şeklinde gerçekleştirilir.
b) Gayrinakdi Krediler; banka müşterilerine nakit bir ödeme yapılmadan
müşterilerin banka itibarından yararlandırılarak iş yapmalarını kolaylaştıran
işlemlerdir. Müşteri lehine teminat verilmesi, senetlerin kabul, ciro, aval işlemi
uygulaması, yurt dışı ülke kredilerinin kullandırımı esnasında muhabir bankaya
harici garanti verilmesi gibi işlemler gayrinakdi kredi işlemleridir.
2.6.3. Kaydi Para Oluşturma Fonksiyonu
Kaydi Para Oluşturma Fonksiyonu, özellikle gelişmiş ülkelerin ticari
bankalarında vadesiz mevduat hesabının açılmasındaki amaç, müşterilerin paralarını
güvence altına alma ve ödemelerinde kolaylık sağlama isteğidir. Bu nedenle çoğu
ülkelerde vadesiz mevduata faiz verilmez. Bankadaki vadesiz mevduatın bir ödeme
aracı olarak kullanılması, bu hesap üzerine çek verilmesi yoluyla olur. Böylece
vadesiz mevduat sahipleri nakdi para olmadan satın alma gücü elde etmiş olurlar. Bu
nedenle vadesiz mevduat hesabına banka parası veya kaydi para adı verilir (Geylan,
1985: 18). Diğer bir değişle nakdi para olmadan sadece bankaların hesaplarına borç
ya da alacak kaydı düşülerek yaratılan kaydi para günümüzde para arzının en önemli
unsurudur.
2.6.4. Hizmet Fonksiyonu
Hizmet Fonksiyonu, bankaların mevduat toplama ve kredi vermenin yanında
müşterilerine başka hizmetlerde sunarlar. Ekonomide meydana gelen gelişmelerin ve
bankalar arasındaki rekabetin de etkisiyle hizmet fonksiyonu çok gelişmiştir.
Bankalar sağladığı başlıca hizmetleri aşağıdaki gibi sıralamak mümkündür:
• Eldeki paranın saklanabileceği güvenli bir yer sağlamak,
51
• Müşteri adına para nakli (EFT, Havale, Transfer vs.),
• Borsa işlemlerine aracılık etmek,
• Kefalet ve teminat mektubu vermek,
• Tahvil satışlarına aracılık etmek,
• Kiralık kasa hizmeti sunmak,
• Kambiyo işlemleri yapmak,
• Müşterileri adına çek ve senet tahsilatı yapmak,
• Dış ticaret işlemlerine aracılık etmek,
• Müşterilerine finansal konularda bilgi vermek,
• İtibarlı müşterilerine banka referans mektubu vermek,
• Elektrik, su, doğal gaz, telefon, vb. faturaların tahsilini yapmak,
• Bağkur, Sosyal Sigortalara Kurumu primi, vergi tahsilatı işlemlerini
yapmak,
• Müşterilerine kredi kartı, şirket kartı ve seyahat çekleri gibi kolaylıklar
sağlamak,
• Müşterilerine bilgi (istihbarat) hizmeti sunmak olarak sırlanabilir.
2.7. BANKACILIĞIN RİSK YAPISI VE BANKA FAALİYETLERİNDEK
SINIRLANDIRMALAR
Bankaların, diğer ticari işletmeler gibi en önemli hedefleri, elinde bankanın
hissesi olan banka ortakları açısından bankanın piyasa değerini maksimize etmektir.
Bu nedenle bankanın borç verme, yatırımda bulunma, borç alma, fiyatlandırma, yeni
servislerin açılması vb. diğer kararların alınmasında ortakların servetleri üzerinde
olacak sonuç etkilerin hesaplanması önem taşır (Santos, 2000: 27). Bu kapsamda
banka ortaklarının servetinde olacak etkiler üç temel faktör tarafından belirlenir. Bu
faktörler;
• Ortaklara yansıyan nakit tutarının artması,
• Bu nakit akımının veya kazanımın sürekliliği,
52
• Bu nakit döngüsündeki risklerin niteliği şeklinde sıralanabilir (Fraser,
1995:11).
2.7.1. Banka İşletmelerinin Karşılaştığı Riskler
Risk, kurumun hedeflerinin gerçekleşmesini engelleyecek her türlü olay veya
durumlardır (Fıkırkoca, 2003: 25). Bankaların ağırlıklı olarak para ticareti yapması
ve faaliyet konularının hata götürmeyen nazik bir yapıya sahip olması nedenleriyle
banka işletmeciliği ile risk işletmeciliğinin eş anlamlı olarak kullanıldığı
görülmektedir.
Bankalar para kazanmak için risk almak zorundadırlar. Bu yüzden banka
yönetimi kazanç/risk açılımını dengeye getirmek için alternatif yatırım stratejileri
oluşturmak durumunadır.
Risk ile belirsizlik kavramları farklı kavramlar olmakla beraber her iki
kavramın da gelecekteki sonuçların kesinlikle bilinemeyeceği durumları anlattığını
düşünenler, riski beklenen bir sonucun belirsizlik derecesi olarak tanımlarlar. Diğer
bir ifade ile risk bir olayın veya olaylar setinin ortaya çıkma olasılığıdır. Risk
sözcüğü, genel olarak negatif veya istenmeyen bir duruma karşılık gelmektedir
(Karacan, 1997: 16). Bundan dolayı risk, belirsizliğe karşı maruz durum olarak ifade
edilmekte ve belirsizlik ve belirsizliğe maruz kalma olarak iki temel faktör ile
tanımlanmaktadır.
Mali piyasalarda risk yerine "exposure" terimi kullanılmaktadır. Bu kavram,
mevcut pozisyon sonucu ortaya çıkabilecek zarar ve kazançları içermekte ve riski
hem negatif, hem de pozitif olarak tanımlamaktadır (Gültekin, 2001: 3).
İç kontrol sistemi oluşturulurken dikkate alınması gereken en önemli
faktörün, risk faktörü olduğu dikkate alınarak, bu kapsamda risk türleri aşağıda
açıklanmıştır. Ancak bu riskleri azaltmaya yönelik olarak iç kontrol sistemi
53
oluşturulurken bu genel risk türlerinin dışında başka risklerin de var olduğu ve
risklerin türleri ile önemlilik derecesinin çeşitli faktörlere bağlı olarak bankadan
bankaya değişebileceği gözardı edilmemelidir.
2.7.1.1. Kredi Riski
Bu risk, potansiyel kayıplar açısından büyük bir önem taşır. Kredi riski
müşterilerin geri ödeme sıkıntısına düşmelerinden kaynaklanır. Yani kullandırılan
kredinin geri dönmeme halini ifade eder. Kredinin geri dönmemesi, borcun tamamen
veya kısmen kaybına neden olur. Kredi vermek, bankacılığın en başta gelen işlevi
olmakla birlikte aynı zamanda bir bankanın en riskli faaliyetidir. Kredi borçlularının
borçlarının anaparasını ve faizini zamanında ödememeleri ihtimali kredi riskini
oluşturur.
Mali riskler arasında en önemli olanı ve Türk bankalarının yönetimine en çok
dikkat ettiği risk, kredi riskidir. Türk bankacılık sektörü, yıllar boyunca kredi riskine
gereken önemi vermektedir. Ancak sektörde artan rekabet, risk alma açısından da
bazı sonuçlar doğururken, bankaların kredi stratejilerini yeniden gözden
geçirmelerinin gereği de ortaya çıkmıştır. Kredi riskinin bir bütün olarak ele alınması
bankacılık sektörünün giderek daralan uluslararası finansman ortamına rağmen,
donuk alacaklarının seviyesini düşük tutarak kredi riskini yönetebileceğini ortaya
koymuştur (Erçel, 2000: 68). Özellikle gelişmiş ülkelerde ticari bankaların aldıkları
en önemli risk kredi riskidir. Oysa gelişmekte olan ülkelerde, Türkiye'de olduğu gibi,
bankaların kredi portföylerinin küçük olması, az sayıda bilinen müşteri ile çalışılması
bu riski azaltmaktadır (Köylüoğlu, 2001: 82).
Borçluların anaparayı ve faizini zamanında ödememeleri aynı zamanda
bankalar açsısından hem likidite hem de kar zarar sorunu yaratır. Bankaların
kendilerine ilişkin bu riske, aynı zamanda gecikme ya da temerrüt riski de denilebilir.
Son yıllarda pek çok sayıdaki banka iflasları geri dönüşü olmayan kredilerden dolayı
ortaya çıkmıştır.
54
Basel Komitesi'nce kredi riskinin etkin bir şekilde yönetilmesini sağlayacak
unsurlar, üst düzey banka yönetiminin kalitesi ve banka karar alma süreçlerinin
doğru bir şekilde işlemesi olarak belirlenmiştir. Bunlara ilave olarak, kredi borçlusu
tarafından hangi amaçlar ve planlar doğrultusunda kredi talep edildiğinin
incelenmesi, kredi borçlusunun talep ettiği kredinin geri ödenmesinde kullanılacak
fon kaynaklarının analiz edilmesi, kredi alanın çeşitli senaryolar altında bu kredileri
geri ödeme performansının ölçülerek, kredinin tahsil edilebilirliğinin tespit edilmesi,
kredi alan firmanın gelecekteki nakit akımlarında değişmeler görülmesi olasılığı esas
alınarak, kredinin risk/getiri analizi yapılması öngörülmüştür (Cenk, 2005: 3).
Kredilerin sınırlı sayıdaki kişiler, sektörler ve ülkeler üzerinde
yoğunlaştırılması ve önemli miktarda kredinin belli bir ekonomik gruba
kullandırılması kredi riskini arttıran başlıca hususlardır.
Kredi riskini azaltan belli başlı uygulamalar ise;
• Belli sektörlere, kişilere yoğunlaşmanın önlenmesi,
• Kredi açılacak müşterilerin detaylı olarak incelenmesinin sağlanması,
• Bir kişiye veya gruba verilecek kredilere limit getirilmesi,
• Kredi verme kararlarının banka yönetiminin gözetimi altında
gerçekleştirilmesi ve kredi kararı verilmeden önce verilecek krediye ilişkin detaylı
bir değerlendirme yapılması şeklinde özetlenebilir.
Bir finansal kuruluşun kredi riskini ölçmek ve kredinin geriye ödeme gücünü
saptamak için krediyi alanın geri ödememe riskinin ölçülmesi gerekir. Genelde
finansal kuruluşların kredi riski ve geri ödememe riskini ölçmekte kullanılan
yöntemler ve modeller birbirine çok benzemektedir. Geri ödememe risk modelleri üç
grup model olarak ele alınmaktadır. Bu modeller; Kalitatif modeller, Kredi
skorlaması (derecelendirilmesi) modeli ve Newer modelleridir.
55
2.7.1.2. Faiz Oranı Riski
Bu risk, gerek nominal gerekse reel faiz oranlarındaki hareketlenmelerden
kaynaklanır. Faiz riski, aktif kalemleriyle pasif kalemleri arasında vade ya da faiz
bazında bir uyumsuzluk olması veya değişken faizli mali yükümlülüklerin
gelecekteki nakit akımları, gelir-gider üzerinde belirsizliğe yol açması halinde ortaya
çıkar (Çelik, 2001: 62). Örneğin, eğer borçlanılan para üzerindeki faiz giderleri, borç
olarak verilen krediler üzerindeki faiz giderlerinden daha hızlı artıyorsa, artan faiz
oranları bankanın kar marjını düşürecektir.
Bankanın farklı vadeler ve faiz yükü ile yükümlülükleri arasındaki ortaya
çıkabilecek uyumsuzluk faiz oranı riskini oluşturur. Faiz oranı riski genel olarak iki
şekilde ortaya çıkabilir. Bunlardan ilki bankanın yükümlülüklerine kıyasla daha uzun
vadeli varlıklara sahip olmasından kaynaklanan yeniden finanslama riski olup,
bankanın bu durumda uzun vadeli olarak bulundurduğu varlıklarını finanse etmek
için yeniden borçlanmak ya da borçlarının vadesini uzatmak isterse karşılaşabileceği
maliyet riskini ifade etmektedir. İkincisi ise bankanın yükümlülüklerine kıyasla daha
kısa vadeli varlıklar tutmasından kaynaklanan yeniden yatırım riski olup, yeniden
yatırılan fonların getirisinin fonların maliyetinin altına düşmesi olasılığını ifade
etmektedir (Karacan, 1997: 23).
Türk bankacılık sektörünün, kısa vadelerde faize duyarlı pasiflerinin faize
duyarlı aktiflerinden daha fazla olması, yabancı kaynakların varlıklara göre daha kısa
sürelerde yeniden fiyatlandırılması sonucunu doğurmaktadır. Varlık ve
yükümlülüklerin yeniden fiyatlama dönemlerindeki bu uyumsuzluk, aktif ve
pasiflerin faiz oranı değişikliklerine karşı olan duyarlılıklarını arttırmaktadır. Diğer
yandan bankalar, faiz oranlarının artma eğilimi gösterdiği dönemlerde, repo yoluyla
düşük faiz getirili kamuya ait menkul kıymetlerini, daha yüksek getirili olanlarla
değiştirmek suretiyle, faiz riskini kontrol altında tutmaya çalışmaktadırlar. Ayrıca
sektörde, swap gibi bazı türev enstrümanlar da, bu amaca yönelik olarak
kullanılmaktadır (Erçel, 2000, 67).
56
Faiz oranındaki dalgalanmalar ve varlıklar ile yükümlülükler arasında
yukarıda anlatıldığı şekilde vade farkı oluşması faiz oranı riskini arttıran başlıca
faktörlerdir. Faiz oranı riskini azaltmaya yönelik başlıca uygulamalar ise;
• Uzun vadeli ve sürekli varlıkların uzun vadeli kaynaklarla, kısa vadeli ve
geçici varlıkların kısa vadeli fonlarla karşılanması,
• Net faiz marjını yeterince yüksek tutmaya yönelik bir politika izlenmesi
şeklinde özetlenebilir (Tevfik, 1997: 260).
2.7.1.3. Likidite Riski
Genelde likidite, bir bankada oluşan nakit fazlasını veya gerektiğinde
yükümlülüklerini ya da diğer müşterilerinin taleplerini makul maliyetlerle
karşılayabilme gücü olarak tanımlanabilmektedir. Likidite riski ise, bir bankanın
bugün ve gelecekte yükümlülüklerini karşılayamamaktan dolayı gelirinde ve
sermaye düzeyinde ortaya çıkma olasılığı olan kayıpları ifade etmektedir. Bu nedenle
risk ile getiri arasında çok yakın bir korelasyon vardır. Risk arttıkça getiri
artmaktadır. Yüksek getiri peşinde koşan bir banka için bu olay bankanın temerrüde
düşmesine, ödeme güçlüğü çekmesine, likidite sıkıntısına girmesi hatta iflasına yol
açabilmektedir (Ünsal, 2001: 1). Bu risk banka müşterilerinin hesaplarındaki paraları
çekmesi ve/veya uluslar arası finans piyasalarına girip kaynak sağlayamaması
durumunda büyür (Mandacı, 2003: 72).
Bankalar, taahhütlerini zamanında yerine getirebilmek amacıyla,
mevcutlarında nakit değerler ya da likiditesi yüksek finansal araçlar bulundurmak
durumundadırlar. Eğer bir banka, taahhütlerini karşılayabilecek söz konusu araçlara
sahip değilse, likidite riski ile karşı karşıya demektir. Bu risk, özellikle kısa vadeli
varlıklarının yine kısa vadeli taahhütlerini karşılayamama durumunda ortaya çıkar
(Çelik, 2001: 62).
57
Likidite riskine bakıldığında, mevduat sahiplerinin kısa vadeleri tercih
ederken, yatırım sahiplerinin yüksek enflasyon beklentileri ve belirsizliğin
yönlendirmesiyle daha uzun vadeleri araması, Türk bankacılık sektörünün aktif ve
pasiflerinin vade yapılarında da, yansımalara neden olduğu görülmektedir.
Dolayısıyla sektördeki bankalar, likidite riskine daha duyarlı hale gelmişlerdir.
Özellikle, son dönemlerde dünya ekonomisinde yaşanan mali sıkıntılar ve global
mali krizler sonrasında, gelişmekte olan ekonomilerin birçoğu riskli görülmeye
başlanmıştır. Bu durumda, uluslararası yatırımcılar Türkiye gibi gelişmekte olan
piyasalara yatırım yapma konusunda daha ihtiyatlı davranmaya ve bu piyasalara,
kredi kullandırımlarında daha seçici olmaya başlamışlardır. Bunun sonucunda Türk
bankacılık sektörüde, kredi dağıtımlarını azaltarak likit kalmayı tercih etmiştir (Erçel,
2000: 68).
Genel olarak incelendiğinde, büyük bankalar küçük bankalara oranla daha az
likidite riski ile karşılaşmakta ve söz konusu durum iki nedenden kaynaklanmaktadır
(Özkan, 1999: 43). Bunlardan birincisi, büyük bankalarda çekilen mevduatın toplam
mevduatın küçük bir kısmını oluşturma ihtimali daha yüksektir. Çünkü büyük
bankaların mevduatları, küçük bankalara oranla daha geniş bir alana yayılmaktadır.
İkincisi ise, ölçekleri nedeni ile büyük bankalar, genellikle bankalararası piyasaya
daha iyi faiz oranıyla ve daha elverişli dönemlerde girmektedir.
Piyasada bankaya olan güven eksikliği, finans piyasalarının istikrarsız oluşu
ve uzun süreli kısa vadeli borçlanma politikası izlenmesine karşın uzun vadeli kredi
kullandırılması, hususları likidite riskini arttıran başlıca unsurlardır
Likidite riskini azaltan başlıca uygulamalar ise;
• Bankaya girmesi ve çıkması muhtemel fon tutarlarının yakından takip
edilmesi ve nakit akımının kesintisizliğini sağlamaya yönelik tedbirlerin alınması,
• Yeterli ölçüde likiditesi yüksek düzeyde olan varlıklara sahip olunması,
• Bankanın varlıkları ile yükümlülüklerinin vade yapısının birbirine yakın
olmasının temin edilmesi,
58
• Piyasada istenildiği zaman yeni fon bulabilme imkanının bulunması
şeklinde özetlemek mümkündür.
2.7.1.4. Piyasa Riski
Piyasa riski bankanın bilanço içi ve bilanço dışı hesaplarda bankalarca tutulan
pozisyonlarda finansal piyasalardaki dalgalanmalardan kaynaklanan faiz, kur ve
hisse senedi fiyat değişmelerine bağlı olarak faiz oranı riski, hisse senedi pozisyon
riski ve döviz kuru riskinden dolayı zarar etme ihtimali olarak tanımlanır (Aloğlu,
2005: 39). Bu tanımdan da görüleceği gibi piyasa riskinin içinde faiz riski, döviz
kuru riski, hisse senedi pozisyon riski ve emtia fiyatları riskini içine alır. Genel
anlamda piyasa riski denildiğinde ise, mevcut bir varlık veya yükümlülüğün ileriki
bir tarihteki piyasa değerinin belirsizliği olarak tanımlanabilir. Bu bakımdan piyasa
riski bankacılık sektörünün karşılaştığı risklerin en geniş kapsamlısıdır.
Bu risk, bankaların sahip oldukları bir ya da birden fazla ticari varlığın işleme
tabi tutulabileceği süre dahilinde, piyasada meydana gelen beklenmeyen olumsuz
dalgalanmaların sebep olduğu kayıp veya beklenenden düşük seviyedeki kar halini
ifade eder (Çelik, 2001: 62). Piyasa riski herhangi bir zaman zarfında meydana
gelebilir.
Piyasa riskini en aza indirmek, piyasa disiplinin sağlanmasıyla mümkündür.
Piyasa disiplini; piyasadaki kurumlarla ilgili bilgilerin zamanında doğru ve şeffaf
şekilde alınmasını içerir. Bankacılık sektöründe piyasa disiplinin sağlanmasıyla
birlikte, piyasadaki ilgili birimler, çok daha sağlıklı değerlendirmeler yapabilecekler
ve böylece istenmeyen riskler en aza indirilecektir (Erçel, 2000: 135).
2.7.1.5. Kur Riski
Ülke parasının diğer paralar karşısında değer yitirmesi veya kurumun döviz
pozisyonunda mevcut yabancı paraların birbirleri arasındaki değerlerinde meydana
59
gelen değişimler sonucunda uğranılacak zarar olarak tanımlanabilir (Kaval, 2000:
28). Diğer bir ifade ile bu risk, kurlardaki değişmelerden kaynaklanan kazanç ve
kayıplarla ilgilidir. Kur riski, yabancı paraya dayalı işlemlerde, yabancı paraların
yerli paraya ya da birbirlerine karşı değerlerinin değişmesi halinde ortaya çıkar,
sonuçta bu da kar veya zarara yol açar.
Kur riski bankacılık sisteminde 1970'li yılların başından itibaren sabit kur
sisteminin terk edilmesi ile önemli hale gelmiştir. Kur riskine ilişkin olarak, Türk
Lirası, faiz oranları ile Türk Lirası'nın nominal değer kaybı arasındaki fark,
bankaların döviz cinsinden kaynaklarını Türk Lirası veya alternatif yatırım araçlarına
dönüştürmesinin en büyük nedenidir. Türkiye'de kur riskine bağlı açık pozisyon
izleme uygulaması 1985 yılında başlamıştır. Çeşitli güçlük ve kayıplarla
karşılaştıktan sonra, Türk bankacılık sektörü, kur riski konusunda yeterince bilgi ve
deneyim sahibi olmuştur. Ayrıca TCMB'de, yaptığı birçok yasal düzenlemeyle, bu
riski azaltma yönünde önlemler almış ve uygulamaya koymuştur (Erçel, 2000: 69).
2.7.1.6. Sermaye Yetersizliği Riski
Bu risk, bankaların mevcut sermayeleri ile gerçekleşen risklerinden oluşan
kayıplarını telafi edebilme gücünü ifade eder (Çelik, 2001: 62). Eğer mevcut
sermayesi, söz konusu risklerin sebep olduğu kayıpları karşılamaya yeterliyse, risk
düşük demektir. Eğer mevcut sermaye, kayıpları karşılayamayacak durumda ise, risk
büyük demektir. Bu durumda gerekli önlemlerin en kısa sürede alınması
gerekmektedir.
2.7.1.7. Faaliyet Riski
Faaliyet riski, kurum içi kontrollerdeki aksamalar ve şirket yönetimindeki
hatalardan kaynaklanan risk olarak tanımlanmaktadır. İç kontrollerdeki aksamalar
mevcut hata ve sahtekarlıkların gözden kaçmasına yol açabileceği için bu risk
bankanın zararda olmasının nedenlerinden birisi de olabilir (TBB, 1997a: 3).
60
Faaliyet riski, bir bankanın maliyetlerinin gelirlerini aşan bir biçimde
faaliyette bulunması ve bu nedenle öz kaynaklarını yitirmesi ihtimalidir. Yukarıda
anlatılan tüm riskler de bir ölçüde faaliyet riski olarak değerlendirilebilir. Örneğin,
kredilendirme faaliyetleri yeterince kontrol edilemez ve çeşitlendirilemezse, banka
için önemli sorunlar doğurabilir. Risklerin hemen hemen hepsinin faaliyet yönü
vardır ve risklerin maliyeti de faaliyetlerin kontrolü ile azaltılabilir (Tevfik, 1997:
294).
Faaliyet riskinin içinde teknoloji riski, yasal risk, ahlaki risk ve itibar riski de
yer almaktadır. Faaliyet riski, bankanın bilgi sistemlerinin raporlama sistemlerinin
içsel risk izleme kurallarının kötüleşmesi sonucu maruz kalınan risk türüdür.
Bankalardaki işlemlerin yoğunluğu ve işlemlerin yeterince kontrol
edilememesi, harcamaların kontrol altında tutulamaması, teknolojik yeniliklerin
maliyet tasarruflarını sağlayamamaları ve yeni banka ürünlerinin hizmete sunulması
hususları faaliyet riskini arttıran faktörlerdir. Faaliyet riskinin azaltan faktörler ise;
• Bankalarda iyi bir iç kontrol sisteminin bulunması ve tüm işlemlerin
kontrole tabi olması,
• Bankalardaki teknolojik yeniliklerin ve yeni ürünlerin uygunluğunun
yönetim tarafından ciddiyetle değerlendirildikten sonra uygulamaya geçilmesi
şeklinde özetlenebilir.
2.7.1.8. Suistimal Riski
Suistimal riski, banka yöneticilerinin, çalışanların ve diğer kişilerin usulsüz
kayıtlama, hile vb. yöntemler kullanarak banka varlıklarını haksız olarak kendilerine
mal etmeleri olasılığıdır.
61
ABD'de yayınlanmış istatistiklere göre münferit banka iflaslarının en önemli
ve etkili nedeni suiistimallerdir. Diğer yandan suistimaller hem mevduat sahipleri
hem de sigorta kurumları açısından maliyeti en yüksek olan iflas nedenleri arasında
yer almaktadır. ABD'de yayınlanmış bu istatistikler suistimallerin banka iflaslarında
ne kadar önemli olduğu hususunda genel bir fikir vermektedir.
Suistimalin pek çok çeşitli biçimleri bulunmaktadır. Bunlar evrensel şekilde
tekrar ve tekrar denenmektedir. Çalmanın daha karlı ve daha az riskli yollarının
olduğu bankacılıkta kasalardan para çalmak nadirdir. Bankalarda suistimalin en
popüler yöntemlerinden birisi işbirliği yapılan bazı kişilere kredi açmaktır. Bu
yöntemle çekilen kredi geri dönmediğinde çalma amacı gizlenebilir ve yapılan
işlemin hatalı bir kredi açılması ya da şansızlıktan kaynaklanan olumsuzluk olarak
değerlendirilmesi de mümkündür. Bu yöntem aralarında Penn Square Bank da dahil
çok sayıda iflas eden bankada uygulanmıştır (Karacan, 1997: 21).
2.7.1.9. Ülke Riski
Ülke riski genel olarak uluslararası kredi işlemlerine, kredi alan kişi ya da
kuruluşun faaliyette bulunduğu ülkenin ekonomik, sosyal ve politik yapısı
nedeniyle yükümlülüğünü tamamen ya da kısmen yerine getirememesi anlamına
gelir. Yani ülke riski, bir ülkenin çeşitli nedenlerden dolayı iç ve dış
yükümlülüklerini yerine getirememesi veya getirmemesi ve ülkenin kendine özgü
koşullarından kaynaklanan bütün risklerin toplamı olarak tanımlanabilir (Aloğlu,
2005: 40).
2.7.2. Banka Faaliyetlerindeki Sınırlandırmalar
İş dünyasında her sektörde yönetim karar alırken pek çok faktörün işletme
faaliyetlerine getirdiği sınırlamaları dikkate almak durumundadır. Ancak bankaların
faaliyetlerini sürdürürken karşılaştıkları sınırlamalar pek çok sektörün karşılaştığı
sınırlandırmalardan daha geniş ve daha önemlidir.
62
Genelde bankanın dış çevresi tarafından konulan bu sınırlandırmaların banka
yönetimi tarafından iyi anlaşılması, verilecek kararlarda dikkate alınması ve özellikle
bankalarda iç kontrol sistemi oluşturulurken bu etkilerin değerlendirilmesi başarılı
bir banka işletmeciliği için önemlidir. Çünkü, bu sınırlandırmalara uyulmaması
nedeni ile iflasa neden olacak ölçüde bankanın pazar kaybına uğraması her zaman
olasılık dahilinde bulunmaktadır.
Bankaların faaliyetlerine etki eden sınırlandırmalar başlıca üç kategoride
sınıflandırılmakta olup, bunlar; pazar sınırlandırmaları, sosyal sınıflandırmalar ve
yasal düzenlemeye bağlı sınırlandırmalardır.
2.7.2.1. Pazardaki Sınırlandırmalar
Banka yönetimi, banka ortaklarının servetini maksimize etmek amacıyla risk
yönetimini gerçekleştirirken ve yönetim kararları alırken pazardaki mevcut
sınırlandırmalarla karşılaşır. Bu sınırlandırmalar bir ölçüde pazar riski olarak da
adlandırılabilir.
Pazardaki diğer bankalarla veya para ve sermaye piyasalarında faaliyet
gösteren diğer finansal kuruluşlarla rekabet etmek zorunda kalması en önemi pazar
sınırlandırmasıdır. Örneğin, banka yönetiminin hesaplamalarına göre kredi riskini
gidermek için verilecek kredilerden %3 faiz alınması gerekirken, pazardaki diğer
kuruluşların %2 oranı üzerinden kredi sağlamaları durumunda, banka yönetimi
alacağı kredi kararlarında, artık pazarda %2 ile sağlandığı gerçeğini dikkate almak
durumunda kalacaktır. Bu örnek pazarda olabilecek bir sınırlandırma olup, banka
üzerine etkisi bazen bankanın zarar etmesine varacak kadar ağır olabilir.
63
2.7.2.2. Sosyal Sınırlandırmalar
Bankalar üzerindeki sosyal sınırlandırmalar, bankaların tarihsel olarak finans
sisteminin merkezini oluşturmalarından kaynaklanmaktadır. Örneğin bankanın
finansal kriz dönemlerinde pek çok kuruluşa kredi açmak zorunda kaldıkları görülür.
Çünkü bankanın gösterdiği finansal performans netice itibari ile faaliyet gösterdiği
toplumun ekonomik açıdan sağlıklı olmasına bağlıdır ve bu nedenle faaliyet
gösterdikleri ekonomik yapının sağlıklı olarak islemesi için ellerinden geleni
yapmaları gerekmektedir. Toplumun bankalardan beklemekte olduğu sosyal içerikli
fonksiyonların bankalar tarafından üstlenilmesi bir şekilde toplum nezdinde bankanın
itibarının tesis edilmesi açısından önemlidir.
2.7.2.3. Yasal Düzenlemelere Bağlı Sınırlandırmalar
Yasal düzenlemeler, banka portföyü yönetilirken banka faaliyetlerini en
önemli ölçüde etkileyen sınırlandırmalardır. Yasal düzenlemeler bankaların karlılığı
ve ayakta kalabilme yeteneklerini önemli ölçüde etkilemektedirler. Örneğin,
bankanın varlıklarını ve yükümlülüklerini etkin şekilde çeşitlendirmesini önleyen
düzenlemelerin bankaların iflas riskini arttırdığı ileri sürülmektedir (Karacan, 1997:
28).
Bankaların faaliyetlerine getirilen belli baslı yasal sınırlandırmalara kısaca
aşağıda yer verilmektedir:
• Banka varlıklarının yapısı konusunda getirilen kısıtlamalar; sermaye
tabanları konulması, gayrimenkullere yapılan yatırımların belli bir limit de tutulması,
belli tutarda rezervin tutulmasının zorunlu olması gibi düzenlemeleri örnek olarak
vermek mümkündür.
• Kredilendirmeye yönelik sınırlandırmalar; örneğin aynı gruba
verilebilecek kredi tutarına limit konulması.
• Fiyatlandırmada sınırlandırmalar; geçmiş dönemlerde mevduatlara
uygulanacak faiz oranlarına getirilen taban ve tavan uygulamaları bu tür
64
sınırlandırmalardır.
• Coğrafi açıdan getirilen sınırlandırmalar; bankaların bir bölgede veya
ülke genelinde faaliyet göstermelerinin engellenmesi seklindeki düzenlemeler örnek
olarak gösterilebilir.
• Banka açmaya veya yeni şubeler açmayı zorlaştıran düzenlemelerde
yine bu kapsamda değerlendirilebilirler.
Bankaların makro ekonomik açıdan finans piyasalarındaki ağırlığı, bankacılık
sektöründe olabilecek herhangi bir olumsuzluğun ekonominin diğer alanlarını da
olumsuz olarak etkileyebilmesi nedenleriyle, banka faaliyetlerinin sıkı bir yasal
düzenlemeye tabi tutulmasını gerektirmektedir.
Bankaların faaliyetlerine sınırlandırmalar getiren yasal düzenlemelerin
genellikle, bankaların başarısız olma riskini azaltmak veya banka kredilerini
fiyatlandırılması ile kredilerin bir ölçüde genel ekonomik sağlığın muhafaza
edilmesine yönelik olduğu görülmektedir.
2.8. BANKACILIK SEKTÖRÜNDE RİSK YÖNETİMİ VE BEKLENTİLER
Bankacılık sektörünün temeli üçlü bir saç ayağına benzetilirse; bu ayakların
ikisi "güven" ve "itibar", diğer ise "sermaye" veya "güçlü mali yapı" olarak karşımıza
çıkar. Güven ve itibar bir bankanın kısa sürede elde edebileceği şeyler değildir.
Sözkonusu değerlere sahip olmak isteyen bir banka hedefine uygun politikalar
benimsemelidir. Bu politikalar globalleşme sürecinde daha çok önemli hale gelmiştir.
Çünkü global rekat koşullarına uygun olarak hazırlanmayan politikalar, ulusal ve
uluslararası piyasalarda güven ve itibar sahibi olmayı engelleyecek veya belirlenen
hedeflere ulaşmaya mani olacaktır (Kahraman, 2000: 1).
Ancak güvenli ve sağlıklı bir finans piyasası oluşturma bu piyasanın
oyuncuları olan bankaların görevi olduğu kadar, bu piyasada oyunun kurallarını
koyan taraf olan kamu gücünün de görevidir. Bu nedenle 4389 Sayılı Kanun'nun
65
gerekçesinde "gerek tasarrufların korunması ve bunların etkin ve verimli bir şekilde
kullanılması, gerekse mali sektörde doğabilecek olumsuzlukların önlenmesi için,
ülkeden ülkeye farklılık arz etmekle birlikte, kanun koyucu bankalara ilişkin mevzuat
ve tasarrufları koruyucu önlemler getirmekte ve birer güven ve itibar müessesesi
olarak kurulan bankaların, likidite, emniyet ve rantabilite çerçevesinde faaliyet
göstermeleri ve etkin bir şekilde denetlenmelerini sağlayabilecek düzenlemeler
yapmaktadır" açıklamalarına yer vermiştir. Bu nedenle 4389 ve 4491 Sayılı Kanunlar
ile Bakanlar Kurulu'nda esaslı değişiklikler yapılmış ve değişiklikler sonrasında
Türkiye'de düzenleme ve denetleme görevi yeni oluşturulan Bankacılık Düzenleme
ve Denetleme Kurulu'na verilmiştir. Kurul'un kanunun verdiğe yetkiye dayanarak
yapacağı denetim ve düzenlemelerden biri de risk yönetimidir.
2.8.1. Bankalar Kanunu ve Risk Yönetimi
Bankalar genel olarak tasarruf sahipleri ile finansman ihtiyacı olanları bir
araya getiren kuruluşlardır. Bu nedenle, bankalar ile ilgili düzenlemeler, tasarrufların
korunması ve toplanan kaynakların etkin bir şekilde ekonominin ihtiyaçlarına uygun
olarak kullanılmasını sağlayacak nitelikte olmak durumundadır. Bu amaçların
sağlanması ise sistemin sağlıklı bir şekilde işlediğine olan güvene bağlıdır. Bu
nedenle her ülkenin kendine özgü bazı hususlardan dolayı bir takım değişiklikler
göstermesine rağmen, ülkelerin yasama gücü, hem mevduat sahiplerinin
tasarruflarını güvence altına alınması, hem de kaynakların en rasyonel şekilde
kullanılmasını sağlayacak şekilde mali sektör ile ilgili düzenlemeler yapmaktadır. Bu
düzenlemelerin biri de mali sektörde risk ölçüm ve yönetimi ile gözetim teknikleri
konusunda araştırmalar yapmak, model ve teknikler geliştirmek ve bunlar ile ilgili
politika önerilerinde bulunmaktır (Kahraman, 2000: 2).
Hızla globalleşen dünyada bankacılık alanında yeni yapılar ile ilgili olarak
yeniden yapılandırma araştırmalarının yapıldığı ve denendiği bilinmektedir. Bundan
dolayı Türk bankacılık sisteminin de uluslararası standartlara uygunluğunun
sağlanması gerektiği, ilk olarak 4389 Sayılı Kanun'un gerçekleşmesinde yer almış ve
66
01.11.2005 tarihli 5411 sayılı yeni Bankacılık Kanununda da olduğu gibi kabul
edilmiştir. Bu amaçla 4389 sayılı Bankalar Kanunu'nun 9.maddesinin 4.bendinde
aşağıdaki hüküm yer almıştır:
"Bankalar, işlemleri nedeniyle karşılaştıkları risklerin izlenmesi ve
kontrolünü sağlamak amacıyla faaliyetlerinin kapsamı ve yapısıyla uyumlu, esas ve
usulleri Bankacılık Düzenleme ve Denetleme Kurulu tarafından çıkarılan
yönetmelikle belirlenecek etkin bir iç denetim sistemi ile risk kontrol ve yönetim
sistemi kurmakla yükümlüdürler." BDDK Teşkilat Yönetmenliği'nin (22.06.2000
tarih ve24087 Sayılı Resmi Gazete) 13.maddesinde belirtildiği üzere; ana hizmet
birimlerinden biri olan İzleme Dairesi Başkanlığı'nın görevi, risk yönetim teknikleri
ve analiz yöntemlerinde kullanılacak veri tabanında yer alacak bilgilerin
tanımlamalarını yapmaktır. Yine aynı yönetmeliğin 20.maddesinde belirtildiği üzere
ana hizmet birimlerinden bir diğeri olan Risk ve Gözetim Teknikleri Araştırma
Dairesi Başkanlığı'nın görevleri de şunlardır:
• Mali sektörde risk ölçüm ve yönetimi ile gözetim teknikleri konusunda
araştırmalar yapmak,
• Model ve teknikler geliştirmek,
• İç denetim, risk ölçüm ve yönetimi ile gözetim teknikleri ve ilgili
istatistiksel araçların kullanımı konusunda ilgili birimlere teknik destek
sağlamak,
• Yukarıda belirtilen konularda politika önerilerinde bulunmak,
• Kurum başkanı tarafından verilen diğer görevleri yapmak.
2.8.2. Finansal Risk ve Yönetimi
Risk gelecekte ortaya çıkacak olaylarla ilgili belirsizlik olarak tanımlanabilir.
Hayatın her alanında karşımıza çıkan risk, finans piyasaları söz konusu olunca önem
kazanmaktadır. Risk yönetimi ise, eğer herhangi bir birey veya kurum
gerçekleşebilecek nitelikteki bir riski azaltmak için herhangi bir finansal ürüne sahip
67
oluyorsa, bu işlem finansal risk yönetimi veya riskten korunma (hedging) olarak
tanımlanabilir (Kahraman, 1999: 2).
İşletmelerde finans yöneticilerinin karşılaştıkları belli başlı riskler ikiye
ayrılır Bunlar, finansal riskler ve muhasebe risklerdir. Finansal riskler, isabetli
olmayan finansal yönetim politikalarının uygulanması veya usulsüz işlemlerin
gerçekleştirilmesi sonucu varlıkların kaybı olasılığıdır. Muhasebe riskleri, varlıklar
ile ilgili hesap verme yükümlülüğünün yerine getirildiği raporlarda ve kayıtlarda hata
olma olasılığıdır.
Varlıkların hırsızlıktan korunmasındaki veya varlıkların yönetilmesindeki
başarısızlık ortaklar ve alacaklar için zarar riskini yaratır. Muhasebe kayıtlarında ve
raporlarında kasıtlı ve kasıtsız olarak yapılan yanlışlıklar sonucu ortaya çıkan hatalı
bilgilerin karar alma sürecinde hem yöneticiler hem de işletme ile ilgili kişiler
tarafından kullanılması halinde alınan kararlarda yanılma riski ortaya çıkar (Kepekçi,
1994: 9).
Bunların dışında finansal risklerin niteliğini etkileyen faktörler aşağıda
gösterildiği gibi sıralanabilir:
• İşletmenin büyüklüğü,
• İşletmenin faaliyet konusu,
• Yöneticilerin yeterliliği,
• Yönetimdeki bütünlük,
• Muhasebe uygulamalarındaki değişiklikler,
• Varlıkların likiditesi,
• Faaliyetlerin karmaşıklığı,
• Yasal düzenlemeler,
• Kritik noktalarda görev yapan personelin değişimi,
• Hızlı büyüme,
• Teknolojik yenilikler.
68
Yapılan değerlendirmelerde işletmenin faaliyet konusu, işletmenin büyüklük
derecesi, varlıkların likidite dereceleri ve işletmedeki değişmeler (yeni bir sisteme
geçilmesi, teknolojik yenilikler, yeni ürün vb) isletmenin risk derecesini önemli
ölçüde etkileyen baslıca faktörler olarak kabul edilmektedir (Marshall, 1995a: 2).
Riskten kaçınma faaliyetlerini de üç grupta toplamak mümkündür (Santomore,
1997:3):
• Etkin olmayan ve yanlış olan finansal kararlardan kaçınabilmek için süreç,
sözleşme ve prosedürlerin standartlaştırılması,
• Kredi alanları (borçluları) çeşitlendirme yoluyla fayda sağlayacak ve
zararların etkilerini azaltacak portföyleri oluşturmak,
• Kurum yönetimi ile yapılan, çalışanların sorumluluğunu gerektiren ve onları
teşvik etmeye yönelik sözleşmelerin uygulanması.
Finans piyasalarında riskten bahsedince yatırım araçlarının içerdiği risk
anlaşılır. Eğer, yatırım aracı devlet tahvili veya hazine bonosu ise, risk taşımadığı
kabul edilmektedir. Çünkü, bunları elinde bulunduran kişilere faiz ve anapara
devletçe mutlaka ödenecektir. Bir devletin bunların karşılığını ödeyemeyeceği teorik
olarak kabul edilmez. Ancak özel sektöre ait yüksek getirili bir tahvilden
bahsediliyorsa, bu tahvil büyük bir risk taşımaktadır. Bu nedenle bir finansal ürün
elde edildiğinde, bu elde etme ile ilgili olarak belli bir düzeyde risk alınmaktadır.
Finansal risk ve risk yönetimi mali piyasada faaliyet gösteren
organizasyonları yönetiminin vazgeçilmez bir parçası haline getiren nedenler 1970’li
yıllarda ortaya çıkmıştır. Nedenleri de, 1973 yılında Chicago Board of Trade’in
(CBOT) belirli hisse senetleri üzerinde standart opsiyon sözleşmeleri yapabilmesine
olanak tanıması; Black&Scholes’un opsiyonları değerlemesi ile ilgili modeli;
1979’da ABD’nin yeni ekonomi politika anlayışı ile aşırı faiz oranlarının ortaya
çıkması ve 1980’ler boyunca uluslararası finans piyasalarındaki gelişmelerdir (Basel
Committe, 1997: 2).
69
Uluslararası piyasalardaki dalgalanmalar nedeniyle, bu piyasalarla ilgili yasal
düzenlemelerin yapılması ihtiyacı 1990’lı yılların ortalarında hız kazanmıştır.
1995’te Londra’daki en eski yatırım bankası Baring Brothers Bank’ın, Nick
Leeson’un Singapur’da piyasa endeksi spekülasyonundaki başarısızlığından sonra
çökmesi, siyasal ve yasal düzenlemeleri yapmakla sorumlu olan çevrelerin gözünde
risk yönetiminin önemini artmıştır. Bu çalışmalar neticesinde, 1997 yılında Basel
Komite (The Basel Committe) Etkin Bankacılık Denetim ve Gözetiminin Temel
Prensiplerini yayımlamıştır. Buna ilave olarak, 1997 yılının Şubat ayında
Uluslararası Finans Enstitüsü (The Institute of International Finance) özel sektörün
bakıs açsından mali holdinglerin gözetim ve denetimi (The Supervision of Financial
Conglamerates Private Sector Perspective) ile ilgili raporunu yayımlamıştır. Son
olarak da, The Basel Committe on Banking Supervision, International Organization
of Securities Comissions ve International Association of Insurance Supervisers’ın
ortak forumu tarafından risk konsantrasyon ilkeleri yayımlanmıştır. Bu
düzenlemelerin amacı finansal sektörde faaliyet gösteren isletmelerin basiretli bir
yönetim anlayış ve yapısına kavuşması için gerekli ilkelerin sunulmasıdır (Eiteman,
1998: 3). Ancak kısaca değinmek gerekirse, Basel Komitesi’nin yayımladığı Etkin
Bankacılık Denetim ve Gözetiminin Temel Prensipleri gelişmiş olup olmamasına
bakılmaksızın herhangi bir ülkenin bankacılık sistemindeki zayıflık hem o ülkenin
hem de uluslararası finans sisteminin istikrarını tehdit edebilir. Finans sistemlerinin
gücünü artırma ihtiyacı gittikçe artan uluslar arası bir kaygı olarak dikkat
çekmektedir. Bu çerçevede bir çok kuruluş (Örnegin, Basel Committe on Banking
Supervision, IMF, BIS ve The World Bank) dünyadaki mali istikrarı arttıracak yollar
aramaktadır.
Bankacılık üst kurulu yetkilileri, bankaların belli riskleri tanımlama,
gözlemleme ve kontrol altına alma ve bu risklere uygun olduğu ölçüde sermaye
karşılığı ayırmak üzere kapsamlı risk yönetimi sürecine uygun kurul ve yönetimin
gözetimi kapsayacak şekilde,sahip olunduğunu görmelidir (Euromoney, 1998: 8).
Bütün gelişmeler finansal sirketlerin, risk yönetim politikaları oluşturabilmek
ve bu politikaları uygulatacak bölümlerin, her seyden önce, isletmelerin maruz
70
kalabilecekleri risklerle ilgili etkili karar verebilmek için mali piyasaları ve bu
piyasalarda bulunan ürünlerin isleyişini her açıdan anlayabilecek düzeyde tecrübeli
personele sahip olmalarını zorunlu hale getirmektedir (Park, 2000: 23).
Globalleşme sürecinde döviz kurlarındaki ani değişiklikler veya faiz
oranlarındaki dalgalanmalar şirketlerin nakit akımlarını etkileyebildiği için, çoğu
şirket riskten korunmayı veya kaçınmayı (hedging) globalleşme stratejilerinin
uygulanabilir bir parçası olarak görmektedir. Örneğin, türev ürünleri faiz oranı
riskinden kaçınmak, mal fiyatları ve döviz kurlarında oluşan ters yönlü hareketleri
hafifletmek, emeklilik fonlarını yönetmek, özsermaye riskinden kaçınmak ve portföy
dağılımı değiştirmek amacıyla şirketlerce kullanılmaktadır.
Risk yönetim politikalarına sahip olmak, şirket yönetimine şirket ortaklarına
karsı risk yönetim politikalarının içerdiği enstrümanların kullanımından doğabilecek
olan sorunlar veya felaketler açısından kolaylıklar sağlamaktadır. Çünkü risk
yönetim politikaları izlenecek yol hakkında rehber niteliğinde dokümanlardır. Söz
konusu dokümanlar, hangi finansal enstrümandan ne zaman, ne kadar satın
alınacağını ve bunlarla ilgili raporlama ve onay sürecini genel hatlarıyla ortaya
koymaktadır. Zaman zaman bu politikalar en basit haliyle “riskten korunma,
spekülasyon yapma” sloganından ibarettir. Oluşturulan politikaların bir kısmı da,
sayfalarca uzunlukta riskten korunma ile spekülasyon arasındaki farklılıkları genel
hatlarıyla ortaya koyan dokümanlar olmaktadır. Ancak, zaman zaman katı
politikalar, piyasalarda lehe sonuçlanabilecek gelişmelerden doğan fırsatlardan
yararlanmayı engellemektedir. Diğer taraftan, amacı açıkça belirtilmiş olan
politikalar bile kötüye kullanmaya müsaittir (Kahraman, 1999: 4).
Risk yönetim politikası oluşturmak genel hatları ile belirli bir süreç gerektirir.
Politika oluşturmanın ilk adımını, yönetim kurulunun bir politika geliştirmeye izin
vermesi veya bu konunun isletmenin amacı ve hedeflerine sağlıklı bir şekilde
ulaşması için risk yönetimi ile ilgili bir politikaya ihtiyaç duyulması oluşturur.
İkinci adım, şirketteki finansmandan sorumlu kişinin riskten korunmanın
71
esaslarını yazılı olarak belirlemesidir. Bu nedenle ikinci adım bilgi toplamayı
gerektirir. Bilgi toplama sırasında, bu esasların hem muhasebe standartlarına
uygunluğu, hem de vergi karsısındaki durumu ana hatları ile ortaya konmalıdır.
Üçüncü ve önemli asama, raporlama sürecidir. Risk yönetim politikaları
uygun raporlama ve onay süreçlerini tanımlamak zorundadır. Örneğin, belirlenen
parasal limit asımlarını içeren hedge işlemleri için genel müdür onayının gerekmesi
veya bazı işlemlerin çift imza ile yapılabilmesi gibi…
Dördüncü asama ise, belirlenen politikanın kontrol yöntemlerini tanımlamayı
içerir. Bu nedenle sağlıklı bir şekilde isleyen iç denetim sistemine ihtiyaç vardır.
Bütün bu aşamalardan sonra, hazırlanan risk yönetim politikası üst yönetim
ve yönetim kuruluna getirilir. Bu sırada şirketin finansal olmayan bölümlerinden
hazırlanan politikaya karsı zorlayıcı sorular gündeme gelebilir. Bu durumda
yapılacak olan, uygun iletişim kurmak suretiyle yönetim kurulunu ikna etmektir.
Diğer bir değişle, uygun iletişim için gerekli her türlü araç kullanılmalıdır. Çünkü bu
aşamada, çoğu zaman, risk yönetim politikası daha fazla risk alındığı gerekçesi ile
reddedilebilir. Bu nedenle aşağıda belirtilen hususlar kullanılmak suretiyle
oluşturulacak politikaya olan tepkiler ortadan kaldırılabilir:
• Politikanın içerdiği kavramların açıklanması,
• Karsı karsıya kalınan veya taşınan risklerin açıklanması,
• Eski uygulamaları kullanarak riskten korunmanın açık seçik ifade edilmesi,
• Seçilen enstrümanların tanımlanması ve aralarındaki farklılıkların
gösterilmesi,
• Riskten korunmanın ve korunmamanın (açık pozisyonda kalma) açıklanması.
Finansal risk yönetim politikaları, özellikle döviz kurları, faiz oranı ve ürün
fiyatlarındaki değişikliklere karsı korunma sağlamak için çok sık kullanılmaktadır.
72
Risk yönetim politikalarının en sık karsılaştığı eleştiri, piyasada fırsat
doğduğunda yaratıcılığı engellemeleri olmaktadır. Çünkü bu tip ortamlarda risk
yönetim politikaları gerekli esnekliğe sahip olmayıp, formalitelerle doludur. Bu
nedenle, politikaların olmasını gerektiğini destekleyenler dahi, oluşturulan
politikaların esnek olmasını savunmaktadırlar. Buradaki esneklik, piyasada oluşan
fırsatları değerlendirmeden ziyade riskten korunmayı mükemmelleştirmeye yarayan
bir esneklik olmalıdır (Kahraman, 1999: 5).
2.9. BANKA İŞLETMELERİNDE İÇ DENETİM İLKE VE ESASLARI
Mali sistem içinde mevcut olan tasarrufların etkin biçimde kullanılarak
ekonomik faaliyetin finansmanında rol üstlenen bankacılık sektörü, son yıllarda
yaşanan hızlı gelişmelerle birlikte ekonomik sistem içinde, değişik roller üstlenmiş,
bir çok alanda hizmet vermeye başlamış, dünya ekonomik düzeni içerisinde önemli
bir yere sahip olmuştur. Bununla birlikte bankacılık sektörünün uluslararası alanda
karşılaşacağı ve yönetmek zorunda olduğu riskler hem artmış hem de çeşitlenmiştir.
Oluşturulan yeni ürünler, bilgi işlem teknolojisindeki gelişmeler sonucunda ortaya
çıkan yeni işlem prosedürleri, dağıtım kanalları ve ulaşılan yeni finansal piyasalar,
bankalara hem yeni fırsatlar sunmuş hem de yeni riskler ortaya çıkmıştır. Diğer
yandan bankacılık sektöründeki yaygınlaşmanın etkisiyle bir bankadan çıkan
problem diğer bankaları etkileyerek tüm sistem için genel bir problem
oluşturabilmektedir (Bankacılar Dergisi, 1999: 21). Ekonomide yaşanan krizlerin
finansal sisteme ve onun önemli unsurlarından olan bankacılık sektörüne yansıyarak,
tüm finansal sistemi ve ekonomiyi etkileyebilecek sorunlar ortaya çıkarması ihtimali
düzenleyici ve denetleyici kurumları daha dikkatli olmaya zorlamıştır.
Gelişmekte olan ülkeler, özellikle son yıllarda ciddi bankacılık krizleriyle
karşı karşıya kalmışlardır. Bu krizler genellikle düşük gelirli ülkelerde yaygın olarak
meydana gelmekte ve maliyeti de göreli olarak yüksek olmaktadır. Gelişmekte olan
ülkelerde meydana gelen bankacılık krizleri genel olarak iki temel nedene
dayanmaktadır (Bankacılar Dergisi, 2000: 37). Bankaların, hem makro ekonomik
73
dalgalanmalar hem de önemli rejim değişiklikleri açısından volatilitesi yüksek bir
ortamda faaliyet göstermeleri ve bankalarda gözetim ve denetim eksikliği olarak
sıralamak mümkündür. Gelişmiş ülkeler ise bu krizlerden dolaylı olarak etkilenirler.
Gelişmiş ülkelerdeki alacaklı durumdaki kreditör bankalar krizin meydana geldiği
bölgedeki mali piyasaların iflası nedeniyle bu durumdan olumsuz etkilenirler. Bu
sebeple gelişmiş ülkeler ve kredi veren kuruluşlar gelişmekte olan ülkelerdeki
ekonomini ve mali sektörün istikrarını isterler.
İster gelişmiş isterse gelişmekte olan bir ülke olsun bankacılık sisteminin
zayıf oluşu hem o ülkenin mali sisteminin hem de uluslararası mali piyasaların
istikrarına karşı önemli bir tehdit oluşturur. Mali sistemlerin güçlendirilmesi
konusundaki ihtiyaç, bu alandaki uluslar arası girişimleri arttırmıştır. Başta Basel
Bankacılık Gözetim Komitesi, BIS,IMF,DB gibi kuruluşlar bir çok uluslararası
piyasalarda mali istikrarın güçlendirilmesi için çalışmalar başlatmışlardır (Bankacılar
Dergisi, 1999: 87).
Mali sistemlerin güçlendirilmesi ise, mali sistemlerin denetimi ile çok
yakından ilgilidir. Bu alanda en ciddi çalışmaları yapan kurum ise "Basel Bankacılık
Gözetim ve Denetim Komitesi" dir. Basel bankacılık Gözetim ve Denetim Komitesi,
bankacılık gözetim ve denetiminde uluslararası işbirliği sağlamak amacıyla G-10
ülkeleri Merkez Bankaları Guvernorleri tarafından 1975 yılında oluşturulmuştur.
Belçika, Kanada, Fransa, Almanya, İtalya, Japonya, Lüksemburg, Hollanda, İsveç,
İsviçre, İngiltere, ABD tarafından oluşturulan komite ulusal bankacılık gözetim ve
denetim otoriteleriyle temaslar yapmaktadır. Son yıllarda hem G-10 ülkeleri
dışındaki ülkelerle yaptığı temasları hem de kendisine üye ülkelerde sürdürülmekte
olan çalışmaları yoğunlaştırarak bankacılıkta ihtiyati denetimin tüm ülkelerde
güçlendirilmesine yönelik gayret ve girişimleri artmıştır (Basel Komite, 1997: 5).
Basel Komite, bankacılık gözetim ve denetimini, hem sektörün denetimi hem
de tek tek bankaların kendi içindeki denetim olarak ele almıştır. Yani hem sektörün
kendi içinde bir denetim mekanizması oluşturması hem de bankaların kendi içinde
bir denetim mekanizması oluşturmasını amaçlamaktadır. Bu amaçla Basel Komite 25
74
maddeden oluşan, "Bankacılıkta Etkin Gözetim ve Denetime İlişkin Temel
Prensipleri" yayınlamıştır. Bu prensipler tüm ülkelerde uluslar arası alanda gözetim
ve denetim otoriteleri ve diğer kamu otoritelerince başvurulacak temel bir kaynak
olmuştur. Basel Komite bankacılık sektöründe gözetim ve denetime ve risk taşıyan
diğer alanlara ilişkin yol gösterici niteliğinde birçok doküman yayınlamış ve
standartlar belirlemiştir. Bunlardan bir diğeri, dünyada banka iç denetimin esaslarını
oluşturan en ciddi çalışma olan "Bankalarda İç Denetim Sistemleri" adlı dokümandır.
Bu dokümanda üye ülkelerdeki banka iç denetim sistemlerine ilişkin uygulamalar ve
Komite'nin daha önce yapmış olduğu çalışmalara paralel olarak iç denetime ilişkin
temel prensipler tanımlanmıştır.
2.9.1. Banka İşletmelerinde İç Denetimin Önemi ve Amaçları
İç denetim, banka yönetim kurulu, üst düzey yönetim ve diğer banka
personelinin içinde yer aldığı bir işlevdir. Sadece belli bir zamana ilişkin bir politika
ya da uygulama değil, bankanın her seviyesinde süreklilik gösteren bir faaliyettir.
Banka yönetim kurulu ve üst düzey yönetimi etkin bir iç denetim sisteminin
yürütülmesine ilişkin banka içi kültürünün oluşturulmasından, etkinliğinin
sürdürülmesinden ve izlenmesinden sorumludur. Ancak, tüm banka personelinin de
denetim işlevine katılımı gerekmektedir. İç denetim işlevinin amaçları şöyle
sıralanabilir (Bankacılar Dergisi, 1998: 152):
• Faaliyetlerin verimliliği ve etkinliği (performans amaçları),
• Mali ve idari konulara ait bilginin güvenirliliği, bütünlüğü ve zamanlaması
(bilgi sistemlerine ilişkin amaçlar),
• Mevcut yasalara ve düzenlemelere uygunluk.
İç denetimin performansa ilişkin amaçları, banka kaynaklarının etkin ve
verimli olarak kullanılması ve olası zararların önlenmesidir. İç denetim işlevi ile tüm
banka personelinin banka çıkarlarını kişisel ya da diğer her türlü çıkarın üstünde
75
tutarak, birlik ve beraberlik içinde banka amaçları doğrultusunda etkin olarak
çalışması amaçlanır.
Bilgi sistemlerine ilişkin temel amaçlar, banka karar ve organlarına güvenilir
ve doğru bilgi ile raporların zamanında temin edilmesidir. Aynı zamanda yıl sonu
bilanço verileri ve diğer mali rakamların ve hissedarlara, gözetim otoritelerine ve
diğer üçüncü kişilere verilen raporların doğru ve güvenilir olması amaçlanmaktadır
(Bankacılar Dergisi, 2000: 102).
Tüm banka faaliyetlerinin ilgili yasal düzenlemelere, gözetim otoritelerinin
belirlediği standartlara ve bankanın politika ve yöntemlerine uygun olması
amaçlanır. Banka itibarının korunması için sözkonusu esaslara uygunluk önemlidir.
2.9.2. Banka İşletmelerinde İç Denetim İlkeleri
Basel Bankacılık Gözetim Komitesi Temmuz 2000'de yayımladığı
"Bankalarda İç Denetim ve Bankacılık Gözetim Otoritesinin İç ve Dış Denetçilerle
İlişkisi" konulu danışma belgesinde iç denetimin ilkeleri aşağıdaki şekilde
sıralanmıştır (Bankacılar Dergisi, 2000: 102):
2.9.2.1. Süreklilik
Bir bankadaki iç denetim daimi bir işlev olmalıdır. Üst yönetim görev ve
sorumluluklarını yerine getirirken, bankanın büyüklüğüne ve faaliyetlerin niteliğine
uygun ve yeterli bir iç denetim işlevine sürekli itibar edebilmesini sağlamak için
gerekli bütün tedbirleri almalıdır.
2.9.2.2. Bağımsız İşlev
Bankanın iç denetim bölümü, denetlenen faaliyetlerden bağımsız olmalıdır.
Bölüm aynı zamanda gündelik iç kontrol sürecinden de bağımsız olmalıdır. Bu, iç
76
denetim bölümüne banka içinde uygun bir konum verilmesi ve görevlerini nesnel ve
tarafsız bir biçimde yerine getirmesi anlamına gelir.
İç denetçinin bağımsız olabilmesi için şu üç şartın gerçekleşmesi gerekir
(Gürbüz, 1990: 52):
• İç denetçi, doğrudan üst yönetime sorumlu olmalıdır
• İç denetçi yürütme fonksiyonundan uzak olmalıdır
• İç denetçi görüşünü çekinmeden açıklayabilmelidir.
2.9.2.3. Denetim Tüzüğü
Denetim tüzüğü, iç denetim bölümünün banka içindeki konumunu ve
yetkisini garantiye alır. Denetim tüzüğü (Bankacılar Dergisi, 2000: 102);
• İç denetimin hedeflerini ve kapsamını,
• İç denetim bölümünün kuruluş içerisindeki yetki ve sorumluluklarını,
• İç denetim bölümünün başkanının hesap verme sorumluluğunu belirler.
Tüzük iç denetim bölümü tarafından hazırlanarak üst yönetim tarafından
onaylanmalıdır.
2.9.2.4. Yansızlık
İç denetim bölümü nesnel ve yansız olmalı, yani görevlerini müdahaleye
uğramaksızın ön yargısız olarak yapabilecek konumda olmalıdır.
İç denetçi, çalışmaları sırasında ortaya çıkabilecek çıkar çatışmalarından uzak
kalmalıdır. Dürüstlük ve yansızlığını etkileyebilecek hiçbir müdahaleye izin
vermemelidir. Ayrıca denetim çalışmaları sonunda ulaştığı görüşü, başkalarının
çıkarlarını düşünmeden raporunda açıklamalıdır (Gürbüz, 1990: 18).
77
2.9.2.5. Profesyonel Yeterlilik
Her iç denetçinin ve bir bütün olarak iç denetim bölümünün profesyonel
yeterliliği, bankanın iç denetim işlevinin uygun biçimde işleyişi açısından
vazgeçilmez önem taşır. Profesyonel yeterlilik, her elemanın sistematik olarak
sürekli eğitime tabi tutulması yoluyla sürdürülmelidir. Personelin rutin işler
yapmasının önlenmesi için rotasyona tabi tutulması da önemlidir (Basel Komite,
2000: 103).
2.9.2.6. Faaliyetin Kapsamı
Bankanın her faaliyeti ve her birimi iç denetimin kapsamına girmelidir. Şube
veya bağlı kuruluşlar ile dış kaynaklardan temin edilen faaliyetler de dahil olmak
üzere bankaların hiçbir faaliyeti ve birimi iç denetim biriminin kontrol kapsamı
dışında tutulamaz. İç denetim bölümü, görevlerinin ifası ile ilgili olduğu her durumda
bankanın herhangi bir faaliyetini veya birimini incelemeye ve yönetim bilgileri ile
bütün danışma ve karar verme kurullarının tutanakları dahil olmak üzere bankanın
bütün kayıt, dosya ve verilerini görmeye yetkili olmalıdır.
Genel bir perspektiften, iç denetimin kapsamı, iç kontrolün uygunluğunun ve
verilen görevlerin yerine getirilme biçiminin incelenmesi ve değerlendirilmesini
içermelidir. İç denetim bölümü özellikle şunları değerlendirmelidir:
• Bankanın politikalara ve risk kontrollerine riayeti,
• Dış raporlama dahil olmak üzere finans ve yönetim bilgisinin güvenirliliği
ve zamanındalığı,
• Elektronik bilgi sistemlerinin sürekliliği ve güvenirliliği,
• Bölümlerin işleyişi.
78
2.9.3. Banka İşletmelerinde Etkin Bir İç Kontrol Sistemine İhtiyaç
Duyulmasının Nedenleri
Özellikle son yıllarda bankacılık sektöründe önemli problemlerin bir çoğunun
yetersiz iç kontrol sistemlerinden kaynaklandığı, dünyaca ünlü bazı bankaların
yetersiz iç kontrol sistemleri bulunması nedeniyle hem finansal kayıplara uğradıkları
hem de itibar kaybettikleri görülmüştür.
1995 yılında Japon Daiwa Bankasının ve İngiltere'nin en eski (232 yıllık) ve
itibarlı bankalarından Baring Bankasının uğradığı birer milyar doların üzerindeki
kayıpla sonuçlanan olaylar, bu bankalarda etkin iç kontrol sistemlerinin kurulmamış
olmasından kaynaklanmıştır. Her iki bankada da yeterli ölçüde iş bölümünün
bulunmaması nedeniyle bankanın fonları üst yönetime rapor edilmeden riskli
yatırımlara yöneltilebilmiştir. Baring bankasının Nick Leeson isimli çalışanı
bankanın büyük miktardaki fonlarını yatırım politikalarına aykırı şekilde riskli future
yatırımlarına yönlendirirken, bu yatırımı üst yönetimden yanlış kayıt kullanarak
gizlemiştir. Neticede, Nick Leeson yatırım işlemlerinde sorumlu olduğu halde
kayıtlara erişim imkanına da sahip olması nedeniyle gerçekleştirdiği gizli işlemlerle
banka yönetiminin haberi olmadan bankayı bir milyar dolar zarara uğratmış ve
bankanın iflasına yol açmıştır. Eğer iç kontrol sisteminin genel kontrol amaçlarından
olan görevlerin ayrımı ilkesine uyulmuş olsaydı Nick Leeson kendi başına hareket
edemeyecek ve Baring Bankası da batmayacaktı.
Bu olaylar başka pek çok banka da yaşanmakta olup, bankalarda iç kontrol
sistemlerinin etkinliğini yitirmesinden kaynaklanan ve banka varlıklarının kaybıyla
sonuçlanan olayların nedenleri beş ayrı grupta kategorize edilebilir. Bunlara aşağıda
yer verilmiştir:
• Bankalarda güçlü bir kontrol kültürü oluşturulamamış olması ve bu
konuda yönetimin önderlik yapmaması,
• Bazı banka faaliyetlerindeki risklerin yeterince değerlendirilmemiş olması,
79
• Bankada görevlerin ayrımı, doğrulama, mutabakat, performans
değerlendirme gibi anahtar iç kontrol faaliyetlerinin bulunmaması veya kesintiye
uğramış olması,
• Denetim programlarının yetersiz olması veya etkin olmaması ve diğer
yönetsel gözetim faaliyetlerinin yetersiz oluşu.
Etkin olarak işleyen bir iç kontrol sistemi yukarıda anlatılan nedenlere ve
diğer nedenlere dayalı olarak ortaya çıkabilecek problemleri büyük ölçüde
giderebilir. Son yıllarda iç kontrol sistemlerinin iyi işlememesine dayalı olarak
görülen banka zararlarının önüne geçebilmesi, bu olaylardan alınan derslerden çıkan
ve yukarıda gruplandırılan nedenlerin hepsinin yok edilmesi ile mümkündür. Bunun
yapılabilmesi ise, etkin olarak işleyen bir iç kontrol sisteminin kurulmasına bağlıdır.
Geçmişte iç kontrol sistemleri hata, hile ve suistimalleri önlemeye yönelik
olarak oluşturulurken, günümüzde bu çerçeve oldukça genişlemiş ve bankaların
karşılaştığı tüm risklerin de iç kontrol sistemi tarafından azaltılması temel hedefler
arasında kabul görmektedir. Öyle ki, günümüzde bankaların koydukları hedeflerin
gerçekleştirmelerinde ve bankanın finansal açıdan sağlıklarını muhafaza
edebilmelerinde iç kontrol süreci kritik bir rol almaktadır.
Bankalarda iç kontrol birimlerini saptamak ve kurmak yönetim kurullarının
görevleri arasında sayılmaktadır. İç kontrol birimlerinin oluşturulması ve daha sonra
gelecek olan bağımsız denetimin esas yapılış nedenlerinin, banka bünyesinde kişisel
çıkar sağlayan insanları ve yolsuzluk yapanları bulup ortaya çıkarmak olmadığı,
aslında bunun zayıf insanı kötü bir şey yapmaya teşvik etmekten, güçlü insanları
fırsatçı olmaktan ve masum insanları da zan altında bulunmaktan korumak amacıyla
yapıldığı vurgulanmaktadır.
Etkin bir iç kontrol sistemine, bankalara başlıca sekiz noktada sağladığı
faydalar nedeniyle ihtiyaç duyulmakta olup, bu noktalara aşağıda yer verilmiştir:
• Etkin bir iç kontrol sistemi banka yönetimin de önemli bir parçasıdır,
80
• Etkin bir iç kontrol sistemi banka faaliyetlerinin güvenli bir şekilde
gerçekleşmesini sağlar,
• Etkin bir iç kontrol sistemi banka kuruluş amaçlarının gerçekleşmesine
katkıda bulunur,
• Etkin bir iç kontrol sistemi uzun dönemli karlılık hedeflerinin
gerçekleştirilmesine katkı sağlar,
• Etkin bir iç kontrol sistemi finansal ve yönetsel raporlamada bilgilerin
güvenirliliğini sağlar,
• Etkin bir iç kontrol sistemi yasalara, düzenlemelere, politikalara, planlara
ve iç prosedürlere uyulmasına katkıda bulunur,
• Etkin bir iç kontrol sistemi beklenilmeyen zarar ve kayıpların oluşması
riskini azaltır,
• Etkin bir iç kontrol sistemi bankanın itibarının zedelenme riskini azaltır.
2.10. BANKALARDA İÇ DENETİM SİSTEMİNİN TEMEL UNSURLARI
Başlangıçta dolandırıcılık, suistimal ve hata olasılıklarını en aza indirmek için
öngörülen bir işlev olan iç denetimin kapsamı zamanla daha da genişlemiş ve bir
bankanın karşılaşabileceği her türlü riski ortaya çıkarabilen bir sistem haline
gelmiştir.
Banka amaçlarının gerçekleştirilmesi ve faaliyetlerinin sürdürülmesi için iç
denetim sistemi önem arz etmektedir. İç kontrol sistemi beş katlı bir pramit şeklinde
düşünülebilir ve etkin bir iç kontrol sistemi birbirine geçmiş beş ayrı parçadan
oluşur. İç denetim sistemi birbirleriyle ilişkili beş temel unsuru aşağıda belirtildiği
gibidir (Basel Komite, 1998: 5):
• Banka yönetiminin gözetim faaliyetleri ve kurum içi denetim kültürü,
• Risk tanımı ve değerlendirme,
• Denetim faaliyetleri ve fonksiyonel ayrım,
• Bilgi erişim sistemi ve kurum içi iletişim,
81
• İzleme faaliyetleri ve iç denetim sisteminde hataların düzeltilmesi.
Önemli miktarlarda zararı olan bankalarda gözlenen problemler bu unsurlar
kapsamında sıralanabilir. Banka iç denetim işlevindeki performans, bilgi sistemleri
ile yasal ve diğer düzenlemelere uygunluğuna ilişkin amaçların gerçekleştirilmesi
yukarıdaki beş temel unsurun etkin olarak çalışmasına bağlıdır.
2.10.1. Banka Yönetiminin Gözetimdeki Rolü ve Kurum İçi Denetim Kültürü
İç kontrol pramidinin tabanını oluşturan kontrol çevresinin veya diğer bir
değişle kontrol ortamının uygun bir yapıda olması, etkin ve güvenilir bir iç kontrol
sisteminin kurulması ve çalıştırılması için gereklidir. Organizasyon yapısı, personelin
yeterliliği, yetki ve sorumluluk devrinin şekli, bütçe ve raporlama ve iç denetimin
etkinliği kontrol ortamını etkileyen belli başlı faktörlerdir (Güredin, 1994: 174).
Bunun dışında, özellikle son yıllarda bankalardaki bilgi-işlem süreci ve bilgi-işlem
sistemlerinin niteliği, tüm kontrol çerçevesi içerisinde en çok ağırlık kazanan
unsurların biri haline gelmiştir.
Gerekli kontrol ortamının oluşturulması banka yönetiminin
sorumluluğundadır. Etkin bir iç kontrol sisteminin oluşturulması için, başta banka
yönetim kurulu olmak üzere tepe yönetim bankada kontrol ortamının kurulup
işletilmesine önderlik etmelidir.
2.10.1.1. Banka Yönetim Kurulunun Rolü
Banka yönetim kurulu, bankanın tüm faaliyetlerine ilişkin önemli politika ve
stratejilerin onaylanması ve periyodik olarak incelemek; bankanın taşıdığı temel
riskleri bilmek ve bu risklere ilişkin kabul edilebilir asgari ve azami sınırları
belirlemek ve üst düzey yönetimin söz konusu riskleri tespit etmesi, ölçmesi,
yönetmesi ve kontrol etmesi konusunda gerekli tedbirlerin almasını temin etmek;
bankanın kurumsal yapısını onaylamak ve üst düzey yönetimin iç denetim sisteminin
82
işlerliğini izlemesini sağlamaktan sorumludur. Banka Yönetim Kurulu uygun ve
etkin bir iç denetim sisteminin kurulması ve sürdürülmesinden nihai olarak
sorumludur.
Banka yönetim kurulu, üst düzey yönetimi yönlendirir, yol gösterir ve gözler.
Bankanın kurumsal yapısı ve faaliyetlerine ilişkin temel politika ve stratejilerin
onaylanmasından ve incelenmesinden yönetim kurulu sorumludur. Tam ve etkin bir
iç denetim sisteminin kurulması ve yürütülmesinde nihai sorumluluk banka yönetim
kurulunundur. Kurul üyeleri bankanın taşıdığı riskler ve sürdürdüğü faaliyetlerle
ilgili bilgiler ve sunulan raporların değerlendirilmesinde tarafsız davranmalı, bilgi
sahibi olmalı ve durumu sorgulamalıdır. Olanaklı olduğu sürece, yönetim kurulu
üyeleri bankanın günlük faaliyetlerinden sorumlu olmayan bağımsız kişiler olmalıdır.
Etkin iletişim kanalları ve yeterli mali, yasal ve iç denetim faaliyetleri ile desteklen
en güçlü bir yönetim kurulu, iç denetim sisteminin etkinliğini azaltabilecek
problemlerin çözümlenmesinde ve gerekli düzenleyici tedbirlerin alınmasında önemli
bir rol oynar (Bankacılar Dergisi, 1998: 153).
Yönetim kurulu, iç denetim sisteminin etkinliğine ilişkin konularda üst düzey
yönetimle düzenli toplantılar yapmalı, üst düzey yönetimin ve iç ve bağımsız dış
denetçilerin kurumun iç denetim sistemine ilişkin değerlendirmelerini düzenli olarak
incelemeli, bağımsız denetçilerin, gözetim ve denetim otoritelerinin iç denetimin
güçlendirilmesine ilişkin yönetime yaptıkları öneri ve tavsiyelere uyulup
uyulmadığını kontrol etmeli, banka stratejileri ile mevcut risk limitlerinin
uygunluğunu periyodik olarak incelemelidir (Bankacılar Dergisi, 1998: 153).
Birçok ülkede bankaların başvurduğu yöntemlerden birisi de banka içi
denetim işlevinin yürütülmesi konusunda yönetim kuruluna danışmanlık edecek
bağımsız bir denetim komitesinin oluşturulmasıdır. Söz konusu komite, banka
yöneticilerinin yerine erişilen bilgilerin ve hazırlanan raporların detaylı olarak
incelenmesi işlevini üstlenir. Mali raporlama ve iç denetim sisteminin gözetiminden
sorumludur. Söz konusu komite ayrıca banka teftiş kurulunu doğrudan danışabileceği
ve bağımsız dış denetçilerin ilk etapta temasa geçebileceği bir yapı olup, banka teftiş
83
kurulu faaliyetlerinin izlenmesinden sorumludur. Söz konusu komite üyeleri mali
raporlama ve iç denetim konusunda bilgi sahibi olmalı ve üyeleri banka yöneticileri
dışından olmamalı örneğin, banka ya da bağlı kuruluşlarının işvereni olmadığı
yönetim kurulu üyeleri komite üyesi olabilir. Ancak, böyle bir komitenin
oluşturulması yasal olarak tek karar alma organı olan yönetim kurulunun yetki ve
sorumluluklarının devri anlamına gelmemelidir.
2.10.1.2. Banka Üst Düzey Yönetiminin Rolü
Banka üst düzey yönetimi, yönetim kurulu tarafından onaylanan politika ve
stratejilerin yürütülmesi; bankanın taşıdığı risklerin tespit edilmesi, ölçülmesi,
izlenmesi ve kontrol edilmesi için gerekli yöntemlerin geliştirilmesi; yetki ve
sorumlulukların açık olarak paylaşıldığı bir kurum yapısının sürdürülmesi ve görev
ve sorumlulukların etkin olarak yerine getirilmesinin takip edilmesi; uygun iç
denetim politikalarının oluşturulması, iç denetim sisteminin etkinliğinin ve
uygunluğunun izlenmesinden sorumludur.
Banka üst düzey yönetimi, banka politika ve stratejilerine ilişkin yönetim
kurulu kararlarının uygulanması ve etkin bir iç denetim sisteminin kurulmasından
sorumludur. Üst düzey yöneticileri iç denetimle ilgili daha detaylı politika ve
prosedürlerin oluşturulması konusunda özel birimleri görevlendirebilir. Görev
delegasyonu yönetimin esasını oluşturur. Ancak, üst yönetimince görevlendirilen
yöneticilerin uygun yöntem ve kuralları geliştirip, uygulamasının izlenmesi önem
taşımaktadır (Basel Komite, 1998: 7).
İç denetim sistemine uygunluk, raporlamaya ilişkin yetki ve sorumlulukların
dağılımını açıkça gösteren etkin iletişim kanallarına ve bilgi donanımına sahip bir
organizasyon yapısına bağlıdır. Yetki ve sorumlulukların dağılımı raporlama
işlevinde herhangi bir aksamaya yol açamamalı ve tüm birimlerin ve faaliyetlerin
yönetimin kontrolünde olmasına imkan vermelidir.
84
Denetime ilişkin faaliyetlerin eğitimli ve gerekli altyapı ve teknik özelliklere
sahip personel tarafından yürütülmesi için üst düzey yönetim düzenleyici tedbirleri
almalıdır. Denetim işlevinde yer alan tüm personel, çalışmalarından dolayı uygun bir
teşvik programına tabi olmalıdır.
2.10.1.3. Denetim Kültürü
Banka yönetim kurulu ve üst düzey yönetimi, mesleki ve ahlaki yüksek
standartların geliştirilmesinden ve bankada her seviyedeki personelin iç denetim
önemini anlamasını sağlayacak kurum içi denetim kültürünün oluşturulmasından
sorumludur. Banka bünyesindeki her çalışan iç denetim sisteminin işleyişinde kendi
rolünü anlamalı ve bu işleve katılmalıdır.
Güçlü bir denetim kültürünün varlığı etkin denetim sisteminin en önemli
unsurudur. Banka yönetim kurulu ve üst düzey yönetim tutum ve davranışları ile iç
denetimin önemini tüm banka personeline anlatmalıdırlar. Bu da hem kurum içinde
hem de kurum dışında sürdürülen banka faaliyetlerinde etik kuralların uygulanmasını
gerektirir. Yönetim kurulu ve üst düzey yönetimin tutum ve davranışları, banka
denetim kültürüne ilişkin etik kuralları ve bunlarda bütünlüğün sağlanmasını
doğrudan etkiler.
İç denetim, farklı sorumluluklar taşımakla birlikte tüm banka personelinin
içinde yer aldığı bir işlevdir. Tüm banka personeli iç denetim işlevine doğrudan ya
da dolaylı olarak katkıda bulunacak bir bilgi üretmektedir. Tüm çalışanların kendi
sorumluluklarını yerine getirmesi ve görevleri dolayısıyla karsılaştıkları problemleri
(etik kurallara aykırı uygulamalar ve diğer banka stratejilerine aykırı olan ya da yasal
olmayan faaliyetler gibi) kurum içi kanallar aracılığıyla üst yönetime aktarmaları
etkin bir denetimin sağlanmasında önem taşımaktadır. Bunun en iyi şekilde
sağlanması için görev ve yetkilerin yazılı olarak tanımlanması ve ilgili personele
ulaştırılması gerekmektedir. Banka içindeki tüm personelin iç denetimin önemini
anlaması ve aktif olarak bu sürece katılması esastır.
85
Etik kuralların teşvik edilmesi ve uygulanabilir olması için bankaların bunlara
aykırı olan faaliyetleri teşvik edecek politika ve uygulamalardan kaçınması
gerekmektedir. Söz konusu politika ve uygulamalar; performansa ilişkin amaçların
ve diğer operasyonel sonuçların ön plana çıkarılması, kısa dönemde etkili olabilecek
risklerin önlenmesi için uzun dönemde etkili olabilecek risklerin göz ardı edilmesi,
görev ve yetkilerin etkin olmayan şekilde dağılımı sonucu banka kaynaklarının
yanlış kullanılması, kısa dönemli hedeflere yönelik teşvik programı uygulanması ya
da hatalı davranışlar için uygun bir yaptırım mekanizmasının isletilmeyişi seklinde
örneklendirilebilir. İç denetim tüm banka personelini içine alan bir alan bir
faaliyettir. Bu açıdan tüm personel iç denetimin önemini kavramalı ve aktif olarak bu
sürece katılmalıdır (Berdibek, 1998: 15).
Etkin bir iç denetiminin olması bankanın amaçlarını gerçekleştirmesi için bir
güvence oluşturmamakla birlikte denetim kültürünün olmaması durumunda hata ve
eksikliklerin fark edilmeden devam etmesini olanaklı kılınacaktır.
2.10.2. Risk Tespiti ve Değerlendirme
Etkin bir iç denetim sistemi, banka amaçlarına ulaşılmasını engelleyebilecek
maddi risklerin tespit edilmesini ve değerlendirilmesini gerektirir. Risklerin
değerlendirilmesinde bankanın ve konsolide bazda banka grubunun karşı karşıya
olduğu tüm riskler (kredi riski, ülke riski, transfer riski, piyasa, faiz riski, likidite
riski, faaliyet riskleri, yasal risk, itibar riski vb.) dikkate alınmalıdır. İç denetimlerin,
yeni ya da daha önceden test edilmemiş risklere yönlendirilmek üzere yeniden
yapılandırılması gerekebilir.
Bankalar faaliyetleri gereği risk alan kuruluşlardır. Bu nedenle, bankanın
taşıdığı risklerin tespit edilmesi ve değerlendirilmesi iç denetim sisteminin bir
gereğidir. Bu açıdan bakıldığında banka amaçlarının gerçekleştirilmesini olumsuz
yönde etkileyecek her türlü iç ve dış faktörlerin tespiti ve değerlendirilmesi
86
gereklidir. Söz konusu işlev bankanın karşı karşıya kaldığı tüm riskleri kapsamalı ve
bankanın organizasyon yapısındaki tüm seviyelerde sürdürülmelidir. Risk
değerlendirme işlevi, bankanın çeşitli faaliyet alanlarında kar maksimizasyonuna
ilişkin risklerin ve stratejilerin incelenmesini hedefleyen risk yönetiminden bu
anlamda farklılık gösterir.
Etkin risk değerlendirilme işlevi, banka faaliyetlerini olumsuz yönde
etkileyebilecek kurum içi (örneğin, kurumsal yapının karmaşık yapısı, banka
faaliyetlerinin içeriği, personel kalitesi, kurumsal değişiklikler, personelin
devamlılığı gibi) ve kurum dışı (örneğin, ekonomik etkenler, sektördeki değişmeler
ve teknolojik gelişmeler gibi) tüm faktörlerin tespit edilmesini gerektirir. Risk
değerlendirmesi kapsam olarak hem bankanın organizasyon yapısındaki tüm
seviyelerde hem de bankanın yan kuruluşlarının faaliyetlerini de içine almak üzere
tüm faaliyetleri kapsayan geniş bir yelpazede yapılmalıdır. Risk değerlendirilmesine
ilişkin çeşitli yöntemler kullanılabilir. Etkin risk değerlendirmesi, ölçülebilir ve
ölçülemez tüm riskleri kapsamalı ve bu risklerin kontrolüne ilişkin kar ve maliyet
hesaplaması yapılmalıdır (BDDK, 2001: 3).
Risk değerlendirmesi, aynı zamanda, risklerin kontrol edilebilirlik derecesinin
belirlenmesini de içerir. Banka tarafından kontrol edilebilir riskler için kabul
edilebilirlik derecesi ya da banka denetim sistemi içinde bu risklerin ne ölçüde
azaltılabileceği hususunun değerlendirilmesi gerekir. Banka tarafından kontrol
edilemeyen riskler hakkında da kabul edilebilirlik derecesi ya da etkilediği banka
faaliyetlerinin azaltılması ya da sona erdirilmesi konusunda karar verilmesi
gereklidir.
Risk değerlendirme işlevinin, dolayısıyla da iç denetim sisteminin etkin
olarak yürütülmesi için banka üst yönetiminin bankanın taşıdığı riskleri düzenli
olarak değerlendirmesi ve değişen koşullara göre gerekli düzenleyici tedbirleri
alması gereklidir. İç denetimlerin, yeni risklerin oluşması ya da mevcut risklerin
kontrol edilemez duruma gelmesi karşısında yeniden gözden geçirilerek söz konusu
bu risklere yönlendirilmesi gereklidir. Örneğin; yeni finansal araçlarla yapılan
87
işlemlere ilişkin riskler değerlendirilmelidir. Söz konusu riskler, genellikle finansal
araçların ve bunlarla yapılan işlemlerin getirilerinin ne olacağı ve bankanın nakit
akışını ne şekilde etkileyeceği hususlarının ekonomik koşullar ve diğer etkenler
birlikte değerlendirilmesiyle en iyi şekilde analiz edilebilir. Operasyonel hatalardan
müşterilerin yanlış algılamalarına kadar olası tüm problemlerin dikkate alınması
denetim için önemli bir unsurdur.
2.10.3. Denetim İşlevi ve Görev Dağılımı
Denetim faaliyetleri bankanın günlük faaliyetlerinin ayrılmaz bir parçası
olmalıdır. Etkin iç denetim sistemi bankanın tüm seviyelerinde denetim faaliyetinin
tanımlandığı uygun bir denetim yapısının kurulmasını gerektirir. Denetim faaliyetleri
içinde; üst düzey incelemeler, farklı birim ve bölümlere ilişkin uygun denetim
faaliyetleri, fiziki denetimler, belirlenen asgari ve azami limitlere uygunluğun
denetimi ve uygun olmayanların takibi, yetki ve onay sistemi ile doğrulama ve
mutabakat sistemi yer almalıdır.
Bankalarda iç denetim faaliyetleri, risk değerlendirme işlevi ile tespit edilen
risklerin izlenmesine olanak verecek şekilde düzenlenmeli ve sürdürülmelidir. İç
denetim faaliyetleri iki aşamayı içerir. Birincisi, denetim politikası ve prosedürlerin
oluşturulması, ikincisi ise bu politikaların ve uygulanan prosedürlerin birbiriyle
uygunluğunun saptanmasıdır. Bankada çalışan tüm personel denetim faaliyetlerinin
kapsamındadır. Denetim faaliyetlerine ilişkin şu örnekler verilebilir (Bankacılar
Dergisi, 1999: 156);
• Üst düzey yönetimin incelemeleri; yönetim kurulu ve üst düzey yöneticiler
banka personelinden sık sık görevleri ile ilgili rapor ve sunum yapmalarını isteyerek
bankanın amaçları doğrultusunda gelişmeleri incelerler. Örneğin, üst düzey yönetim
mali hesap raporlarını inceleyerek bütçe hedeflerini gözden geçirir. Bu inceleme
sonucunda üst düzey yönetimin yönelteceği sorular cevaplandırılır ve böylece bir
denetim süreci işletilmiş olur.
88
• Faaliyet denetimi; birim yöneticileri olağanüstü durumlar hakkında günlük
haftalık ve aylık raporlar ile genel performans raporlarını inceler ve değerlendirir.
Birim yöneticilerince yapılan incelemeler üst düzey yönetimce yapılan
incelemelerden daha sık ve daha detaylı olmaktadır. Örneğin; ticari kredilerden
sorumlu müdürü haftalık raporlarda kredi geri ödemeleri ve faiz gelirlerini
incelerken, kredilerden üst düzey sorumlu ise, benzer raporları aylık bazda inceler ve
tüm sektörlere verilen kredileri özet bir formatta görmek ister. Daha üst yönetimin
incelemeleri sonucu ise ortaya konulan sorular ve alınan yanıtlar denetim sürecinin
işleyişini gösterir.
• Fiziksel denetimler; daha çok bankaya ait maddi varlıkların kullanımına
yönelik sınırlamaları içerir (nakit para, menkul kıymetler gibi). Denetim faaliyeti söz
konusu bu sınırlamaları ve periyodik envanterleri içerir.
• Tanınan limitlere uygunluk; bankacılığa ilişkin genel risk sınırlarına bağlı
kalınması risk yönetiminin bir gereğidir. Örneğin, kredi verme limitlerine uyulması
bankanın kredi riskini azaltacağından risk profilinin değişmesini de sağlayacaktır.
Dolayısıyla, iç denetimin en önemli kısmı bankanın genel risk sınırlarına uyup
uymadığının incelenmesidir.
• Onay ve yetki; belli limitlerin üzerindeki işlemler için onay ve yetki
gerekliliği üst yönetim seviyelerinin söz konusu işlemlerden haberdar olmasına
imkan verir ve kendilerine sorumluluk yükler.
• Sorgulama ve mutabakat; işlem detaylarının ve kullanılan risk yönetim
modellerine ait çıktıların sorgulanması önemli bir denetim faaliyetidir. Periyodik
olarak yapılan mutabakat toplantıları, (nakit akışı ile hesap verilerinin
karşılaştırılması gibi) işlem ve kayıtların karşılaştırılarak doğrulanmasına imkan
verir. Bu mutabakatlar uygun üst düzey yöneticilere rapor edilerek mevcut
problemlerin saptanması sağlanır.
89
Denetim faaliyetleri, hem yönetim hem de ilgili tüm personel tarafından
günlük faaliyetlerinin bir parçası olarak değerlendirilmek suretiyle etkinlik
kazandırılır. İç denetimin günlük faaliyetler dışında ek zaman ve çalışma
gerektirecek bir faaliyet olarak sürdürülmesi verilen önemi azaltmakla birlikte
personelin kısa zaman süreci içinde kendilerini denetim görevlerini yerine getirmeye
zorlanmış hissetmesi denetimlerin etkinliğini zayıflatabilir. Ayrıca, denetimin günlük
faaliyetlerin bir parçası olması değişen koşullara hızlı ve çabuk adapte olunmasını
sağlayacağı gibi, olağanüstü maliyetlerden kaçınılmasına yardımcı olur. Banka
içinde denetim kültürünün benimsenmesi için üst düzey yönetim denetim
faaliyetlerinin günlük çalışmaların ayrılmaz bir parçası olduğu konusunun ilgili tüm
personel tarafından anlaşılmasını sağlamalıdır.
Bankanın faaliyetlerine ilişkin gerekli politikaların ve prosedürlerin
oluşturulmasının yanı sıra düzenli olarak banka faaliyetlerinin bu politika ve
prosedürlere uygun olarak sürdürülmesini sağlamak ve halen gündemde olan politika
ve prosedürleri belirlemek üst düzey yönetimin görevidir (Kara, 2001: 12).
Etkin iç denetim sistemi banka faaliyetlerine ilişkin uygun fonksiyonel
ayrımların olmasını, farklı yetki ve sorumlulukların çakışmamasını gerektirir.
Muhtemel çıkar çatışmalarının olabileceği faaliyet alanları belirlenerek, en aza
indirilmeli ve bağımsız izlemeye tabi olmalıdır.
İç denetimdeki yetersizlikleri nedeniyle önemli kayıplara uğrayan bankalar
incelendiğinde gözetim ve denetim otoritelerince belirlenen tipik bir problem; söz
konusu bankalarda gerekli fonksiyonel ayrımların bulunmayışıdır. Bir kişiye aynı
anda birbiriyle çakışan görev ve sorumlulukların verilmesi, örneğin, bankada hem
gişe işlemlerinden hem de 'back ofis'ten sorumlu olunması kişisel kar sağlamak için
bankanın finansal verilerinin yönlendirilmesine ya da bankanın zarara uğratılmasına
yol açabilir. Bu nedenle, banka kaynaklarının kişisel çıkarlar için yanlış biçimde
kullanılmasının önlenmesi bakımından bankadaki fonksiyonel bölümlerle ilgili görev
ve sorumlulukların mümkün olduğunca birbirinden ayrılması gereklidir.
90
Fonksiyonel ayrım yalnızca yukarıdaki örnekle sınırlı değildir. Sorunlara
neden olabilecek daha başka örnekler de vardır:
• Ödemeler için onay yetkisine ve ödeme yapma yetkisine sahip olma,
• Müşteri hesapları ve özel hesaplarda yetkili olmak,
• Bankacılık ve ticari kayıtlara ilişkin işlemler yapmak,
• Kredi alanın hem mali durumunu tespit etmek hem de sonraki faaliyetlerini
takip etmek, vb.
Banka için risk yaratabilecek fonksiyonların tespit edilerek mümkün
olduğunca ayrılması ve farklı kişilerin sorumluluğuna verilerek bağımsız bir tarafça
izlenmesi gerekmektedir. Önemli görevlerdeki personelin sorumlulukları ve yetkileri
periyodik olarak incelenerek, banka için risk oluşturmaması için gerekli tedbirler
alınmalıdır.
2.10.4. İzleme Faaliyetleri ve Denetim Sisteminde Hataların Düzeltilmesi
Bankanın iç denetim sisteminin etkinliği aralıksız olarak izlenmelidir. Temel
risklerin izlenmesi bankanın günlük faaliyetlerinin içinde yer almalı ve banka
yönetimi ve banka müfettişleri tarafından yapılacak periyodik değerlendirmelerin bir
parçası olmalıdır (Basel Komite, 1998: 10).
Bankacılık dinamik ve hızla gelişen bir sektördür. Bankalar kurum içinde ve
dışında gerçekleşen gelişmelere paralel olarak iç denetim sistemlerini sürekli
izlemek, değerlendirmek ve etkinliğinin devamını sağlamak için geliştirmek
durumundadır. Çokuluslu bankalarda, üst düzey yönetimin izleme fonksiyonu açıkça
tanımlanmalı ve kurum içinde gerekli yapı oluşturulmalıdır (Kara, 2001: 14).
İç denetim sisteminin etkinliği bankacılık işlemleri, mali kontrol ve iç kontrol
olmak üzere farklı alanlarda görevli banka personeli tarafından izlenir. Bu nedenle
üst yönetimin hangi personelin hangi faaliyetlerin izleneceğinden sorumlu olduğunu
91
tespit etmesi gerekir. Bankanın günlük faaliyetlerinin bir parçası olarak iç denetim
sisteminin işleyişi izlenirken, iç denetim sisteminin etkinliğinin periyodik olarak
ayrıca değerlendirilmesi gereklidir. Bankanın farklı faaliyetlerinin izlenmesinin ne
sıklıkta olacağı bankanın taşıdığı mevcut riskler ile banka içindeki ve dışındaki diğer
gelişmelere göre belirlenmelidir.
Kesintisiz izleme iç denetim sistemindeki hata ve eksikliklerinin çabucak fark
edilerek düzeltilebilmesi imkanını verir. İç denetim sistemi bankanın operasyonel
işlemleriyle iç içe girdiğinde izleme fonksiyonu en etkin biçimde çalışır ve düzenli
raporların üretilmesine olanak verir.Günlük işlem kayıtlarının incelenmesi ve
onaylanması, özel durum raporlarının üst yönetimce incelenmesi ve onaylanması
aralıksız izleme işlevine örnek olarak verilebilir (Bankacılar Dergisi, 1998: 159).
Ayrı birimler tarafından yapılan değerlendirmeler bir yandan problemlerin
ancak ortaya çıktıktan sonra fark edilmesine yol açar, diğer yandan ise izleme
faaliyetlerinin ve iç denetim sisteminin etkinliğinin kapsamlı olarak
değerlendirilmesine imkan verir. Bu değerlendirmeler farklı fonksiyonel birimlerde,
örneğin, bankacılık işlemleri, mali kontrol, banka içi teftişte görevli personel
tarafından yapılır. İç denetim sisteminin ayrı birimlerce değerlendirilmesi sık sık özel
görevlerde bulunan personelin kendi sorumluluk alanıyla ilgili kişisel
değerlendirmesi seklinde olur. Söz konusu değerlendirme sonuçlarına ilişkin raporlar
üst düzey yönetimce incelenir. Her seviyede yapılan değerlendirmenin raporlanması
ve zamanında ilgili pozisyonlardaki yöneticilere ulaştırılması gerekir.
İç denetim sisteminin, bağımsız ve uygun eğitime sahip banka müfettişlerince
yürütülecek etkin ve kapsamlı kontrolünün yapılması gerekir. Banka müfettişlerince
yürütülen kontroller iç denetim sisteminin önemli bir parçasıdır ve doğrudan yönetim
kurulu, teftiş kurulu ve üst düzey yönetime rapor edilmelidir (Basel Komite, 1998:
15).
Banka içi kontroller, iç denetim sisteminin kesintisiz izlenmesinin önemli bir
unsurudur, çünkü, mevcut politika ve yöntemlere uygunluğun bağımsız olarak
92
değerlendirilmesine imkan verir. Banka içi kontroller bankanın günlük
faaliyetlerinden bağımsız olarak yapılır ve bankanın şube ve yan kuruluşlarının tüm
faaliyetlerini kapsar.
Doğrudan yönetim kurulu, üst düzey yönetim ya da banka teftiş kuruluna
rapor edilmek suretiyle, banka müfettişleri bankanın faaliyetleri hakkında tarafsız
bilgi sunarlar. Bu işlevin önemi nedeniyle banka müfettişlerinin yeterli eğitime sahip,
ehliyetli, görev ve sorumluluklarının bilincinde kişiler olması gerekir. Banka içi
kontrollerin ve iç denetim sisteminin incelenmesinin zamanlaması bankanın yapısı,
faaliyetleri ve taşıdığı risklere uygun olmalıdır.
Banka içi teftiş raporları doğrudan banka yönetim kurulu, teftiş kurulu ve üst
düzey yönetime sunulur. Yönetim kuruluna tüm yönetim birimleri hakkında tarafsız
olarak hazırlanan raporların verilmesi, banka yönetiminin etkin olarak çalışmasına
imkan verir.
Teftiş kurulundaki müfettişlerin tarafsızlığının korunması için maaş ve
ödeneklerinin yönetim kurulu ya da rapor ettikleri birim yöneticileri dışındaki üst
düzey yönetim tarafından belirlenmesi yerinde olur.
Prensip olarak banka yönetimi, banka müfettişleri ya da denetimden sorumlu
diğer banka personeli tarafından tespit edilen iç denetime ilişkin hata ve eksiklikler
zamanında ilgili yönetim birimlerine rapor edilmeli ve ivedilikle ele alınmalıdır.
İç denetime ilişkin hatalar ya da etkin olarak kontrol edilmeyen tüm riskler
tespit edildiği anda yönetim kurulu ve üst düzey yönetime rapor edilmekle birlikte
gerekli personele de rapor edilmelidir. Rapor edildikten sonra gerekli düzeltmelerin
yönetimce belli bir zaman sürecinde yapılması önem taşımaktadır. Banka müfettişleri
izleme prosedürünün aşamalarını takip ederek, yönetim kurulunu veya üst düzey
yönetimini düzeltilmeyen hatalardan haberdar etmelidir. Tüm hataların belli bir
zaman süreci içinde belirlenmesi için üst düzey yönetimin iç denetime ilişkin
zayıflıkların izlenmesine imkan verecek bir sistemin kurulması ve düzenleyici
93
tedbirlerin alınması gereklidir.
Tüm denetim faaliyetlerine ilişkin konularda yönetim kurulu ve üst düzey
yönetime düzenli raporlar sunulmalıdır. Ancak, maddi olmayan konuların daha
önemsiz görülerek zamanında değerlendirilmemesi önemli bir kontrol hatası olabilir.
94
ÜÇÜNCÜ BÖLÜM
3. TÜRK BANKACILIK SEKTÖRÜNDE İÇ DENETİM
YAPISININ OLUŞTURULMASI
Gerek ulusal gerekse uluslar arası finansal piyasalarda yaşanan hızlı gelişmeler
ile Türk Bankacılık Sektörünün içine girdiği yeniden yapılanma, bankaların etkin
gözetim ve denetimi konusunda yeni düzenlemelerin yapılmasını zorunlu kılmıştır.
Bu nedenle bankalar, ilk olarak Haziran 1999’da 4389 sayılı Bankalar Kanununun
9/4.maddesine göre karşılaştıkları risklerin izlenmesi ve kontrolünü sağlamak
amacıyla esas ve usulleri BDDK tarafından belirlenecek etkin bir iç denetim yapısı
ile risk kontrol ve yönetim sistemi kurmakla yükümlüdürler. Böylelikle bankaların
risk yönetimi ve iç denetim yapısını oluşturmaları için hukuki zemin hazırlanmış
olur.
Belirtilen kanun maddesi çerçevesinde gerekli düzenlemeler yapılmış ve
BDDK tarafından hazırlanan “ Bankaların İç Denetim ve Risk Yönetimi Sistemleri
Hakkında Yönetmelik” 08.02.2001 tarih ve 24312 sayılı Resmi Gazetede
yayınlanarak yürürlüğe girmiştir.
Ancak bankalar kendi içlerinde iç denetim yapısını oluştururken pek çok
güçlükle karşılaşmış özellikle yönetmelik hükümlerinin hayata geçirilmesinde
yönetmelik yetersiz kalmıştır. Bu nedenle BDDK tarafından açıklayıcı nitelikte
“Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmeliğin
Uygulanmasına İlişkin 1 Sayılı Tebliğ” ile uygulamaya açıklık getirilmiştir.
Bankalar, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara cevap
verebilecek nitelik, yeterlilik ve etkinlikte, uygun iç denetim ve risk yönetim
sistemlerini kurmak, devam ettirmek ve geliştirmek zorundadırlar. İç denetim yapısı
95
kapsamındaki iç kontrol, teftiş ve risk yönetimi fonksiyonları içindeki faaliyetler,
yönetim kurulu, üst düzey yönetim, bankanın her düzeydeki personeli ile teftiş
kurulu, iç kontrol merkezi ve risk yönetimi grubu tarafından yürütülür. İç denetim ve
risk yönetim düzenlemeleri, bu birimlerin birbirinden bağımsız, iç kontrol işlevi
kapsamında banka yönetim kuruluna ve üst düzey yönetimine karşı ayrı ayrı sorumlu
olmalarını sağlayacak şekilde yapılmalıdır. Bu kapsamda her banka kendi örgüt
yapısı içinde ayrı bir teftiş birimine, ayrı bir iç kontrol merkezine ve risk yönetimi
grubuna yer vermeli ve bunların idari açıdan doğrudan yönetim kuruluna bağlı
olacak şekilde örgütlenmelerini sağlamalıdır.
96
TABLO-2:Banka Organizasyon Yapısı İçinde İç Denetim Sistemi
Bankaların bu yapılanmada dikkat etmeleri gereken en önemli konulardan bir
tanesi iç denetim yapısının ne şekilde oluşturulması gerektiğidir. Bankalar iç denetim
yapısını oluşturmada şu sırayı takip eder:
• Etkin bir iç kontrol ortamının oluşturulması,
• İç Denetim Merkezinin yapısını; İç Kontrol Merkezi, Teftiş Kurulu ve
Risk Yönetim Merkezi olarak bölümlemek,
• Bu bölümlerin etkin faaliyet gösterebilmeleri ve görev ayrımı
noktalarının belirlenmesi amacıyla, her bölümün yönetmeliklerini
düzenlemek,
97
• Her bölümün organizasyon yapısını oluşturmak.
3.1. BANKALARDA İÇ DENETİME KONU OLAN DENETİM ALANLARI
Bankaların iç kontrol merkezinin, teftiş kurulu ve risk yönetim merkezi
tarafından etkin bir iç denetim gerçekleştirmesi için faaliyetlerine başlamadan önce
denetim alanlarını tespit etmeleri gerekmektedir. Denetim alanları, temel kontrol
alanları ve bankanın faaliyetlerine dayalı olarak belirlenir.
Temel kontrol alanlarının bir kısmı, düzenli aralıklarla yapılan kontrol ve
incelemeleri kapsarken diğer bir kısmı gerektiğinde ve istendiğinde yapılan ve bir
süreye bağlı olmadan yapılan acil ve hızlı kontrol alanlarını kapsar. Bu doğrultuda
başlıca temel kontrol alanlarını aşağıdaki şekilde belirtebiliriz;(08.02.2001 tarih
24312 sayılı Resmi Gazete);
• Gözetim amacıyla Kurumun (BDDK) talep ettiği raporlamaların ve diğer
bilgilerin hazırlanması,
• İlgili mevzuata uygunluğun sağlanması,
• Yeterli düzeyde karşılık ayrılmasının sağlanması,
• Faaliyetlerin sağduyulu olarak planlanması ve yürütülmesinin temini,
• Finansal muhasebe ve yönetim bilgi sistemleri,
• Temel faaliyet alanlarının özel kontrolü,
• Otomasyon bilgi işlem ortamı,
• Acil ve beklenmedik durum planlaması,
• Kara paranın aklanmasının önlenmesi.
98
3.1.1. İç Denetime Konu Olan Temel Kontrol Alanları
3.1.1.1. Gözetim Amacıyla Kurum Tarafından Talep Edilen Raporlamaların ve
Diğer Bilgilerin Hazırlanmasına İlişkin Kontroller
Hazırlanan finansal raporlamalar ve diğer bilgiler, belirlenen raporlama
usullerine ve kriterlerine uygun olmalıdır. Belirlenen koşulların yerine getirilip
getirilmediği ve ortaya çıkan aksaklıklar bankada teftiş ve iç kontrol faaliyetlerini
yürüten departman ve yetkililer tarafından sürekli izlenir. Gerekli kontrol ve
incelemeler teftiş ve iç kontrol departmanınca etkin bir biçimde yerine getirilir.
3.1.1.2. İlgili Mevzuata Uygunluğun Sağlanması
Bankaların, bankacılıkla ilgili yasal düzenlemelere uygun faaliyette
bulunmalarını sağlayacak, uyarıcı izleme ve raporlama sistemlerine sahip olmaları
gerekmektedir. Banka üst düzey yönetimi, mevzuata, banka içi kurallara, genel
bankacılık ilkelerine ve finansal sistemde genel kabul gören piyasa kurallarına
uyulmasının önemini ve düzenlemelere uyulmamasının ne tür yeni risklere yol
açabileceğini bilmelidir.
İç kontrol merkezi ve banka üst düzey yönetimi, bankanın birimlerinde
düzenlemelere uyulup uyulmadığının takip edilmesini, kontrolünü ve
koordinasyonunu sağlayacak kişileri görevlendirir ve görev tanımlarını açık bir
şekilde oluşturur.
99
3.1.1.3. Yeterli Düzeyde Karşılık Ayrılmasının Sağlanması
Bankanın varlıkları ve muhtemel yükümlülükleri ile ilgili olarak ayrılması
gereken değer azalış karşılıkları, gider karşılıkları ve diğer karşılıklar, bankanın
risklerini ve yükümlülüklerini karşılayacak düzeyde olmalıdır. Bu amaçla bankanın
varlıklarının kaliteleri değerlendirilmeli, donuk ve sorunlu kredi ve alacaklar için
yeterli düzeyde karşılık ayrılması hususu üzerinde önemle durulmalıdır. Ayrıca
bankanın yeterli karşılık ayrılması konusundaki politikaları ve uygulama usullerinin,
kontrol ve denetimi yapılmalıdır.
3.1.1.4. Faaliyetlerin Basiretli Bir Şekilde Planlanması ve Yürütülmesinin
Sağlanması
Üst düzey kontrol ve incelemelerin amacı banka faaliyetlerinin basiretli bir
biçimde planlanmasının ve uygulanmasının sağlanmasıdır. Strateji, politika ve
yetkilerin basiretli bir şekilde tanımlanması, yönetim politikaları ile uygunluğun
takip edilmesi ve performans değerlendirmesi bu kontrol ve incelemelerin kapsamı
içinde yer almaktadır.
3.1.1.5. Finansal Muhasebe ve Yönetim Bilgi Sistemlerine İlişkin İnceleme ve
Kontroller
Bankanın iç kontrol ve teftiş faaliyetini yürüten birimler, finansal muhasebe
sistemi ile yönetim bilgi sisteminin etkin bir kontrol ve incelemesini gerçekleştirmek
durumundadırlar.
Yönetim bilgi sistemi, finansal tabloların ve diğer raporlamaların yasal
düzenlemeler doğrultusunda hazırlanması açısından ilgili verileri zamanında
toplamalıdır.
100
Bankanın başlıca finansal performans göstergeleri ile finansal tabloları
banka içinde kontrol edilip onaylandıktan sonra kamuya açıklanır. İç denetim
faaliyeti ile finansal tabloların güvenilirliği teminat altına alınır. Finansal tablolar
muhasebe kuralları ve standartlarına uygun olarak hazırlanır.
3.1.1.6. Temel Faaliyet Alanlarının Özel Kontrolü
Bankanın temel faaliyet alanları özel bir inceleme ve kontrole tabi tutulur.
Bu nedenle bankanın temel faaliyet alanlarının uygun bir biçimde gruplandırılması
gerekmektedir. (Aslan,2003: 94. )
3.1.1.7. Otomasyon/Bilgi-İşlem Ortamının Kontrolü
Bilgi işlem sisteminin planlamasını, geliştirilmesi ve çeşitli uygulamaların
tatbiki sürecinde taşınan risklerin asgariye indirilmesine yönelik olarak, gerekli
kontrol mekanizmaları bankalar tarafından oluşturulur48.
3.1.1.8. Acil ve Beklenmedik Durum Planlaması
Bankada yangın, deprem sel gibi felaketlerden kaynaklanabilecek kayıp ya da
zararların azaltılabilmesi ve potansiyel zararın kontrolü amacıyla bankalar tarafından
acil ve beklenmedik durum planlaması hazırlanmalıdır.
3.1.1.9. Kara Paranın Aklanmasının Önlenmesi
Bankanın yönetim kurulu kaynağı yasal olmayan kara paranın aklanması
faaliyetini ve bankanın bu faaliyete bilmeden taraf olmasını engelleyecek kontrol
mekanizmasının ve uygulama usullerinin oluşturulmasını sağlamalıdır.
101
3.2. İÇ KONTROL VE İÇ DENETİM İLİŞKİSİ
İşletmelerde iç kontrol sistemi ile iç denetim arasındaki ilişkileri tam
anlamıyla değerlendirebilmek için iç kontrol sistemi ile iç denetim kavramlarının
birbirinden farklı kavramlar olduğunu ortaya koymamız gerekmektedir.
İç kontrol sistemi, işletme faaliyetlerinin sağlıklı bir şekilde yürütülebilmesi,
muhtemel hata, hile ve eksikliklerin engellenebilmesi ve işletmenin hedeflerini
gerçekleştirmek üzere ihtiyaç duyduğu bütün plan, politika, prosedür ve
uygulamaları kapsayan bir sistemdir.
Tüm işletmeler, amaçlarına ulaşmada çeşitli risklere katlanırlar.. Risk işletme
faaliyetlerinin planlandığı gibi gerçekleşmeme olasılığından kaynaklanır. İşletme
yönetimi bu risklerin belirlenmesini ve mümkün olduğu ölçüde bu riskleri azaltmak
için muhasebeye ve diğer faaliyetlere ilişkin kontrollerin kurulmasını gerektirir.
Kontrol sistemi, yönetim politikaları ve prosedürleri ile işletme faaliyetlerinin
bunlara uygunluğunu kontrol etme araçlarını içerir. Bu politikalar ve prosedürler ise
iç kontrol sistemini oluşturur.
İşletmelerde etkin bir iç kontrol sisteminin oluşturulması ve bu sistemin
gerektiği şekilde işletilmesinin sağlanması ve izlenmesi yönetimin sorumluluğu
altındadır. Fakat ne kadar iyi tasarlanmış olursa olsun hiçbir iç kontrol mekanizması
hataların ortaya çıkarılması ve önlenmesi bakımından tam bir güvence
sağlamamaktadır. Bu nedenle yönetimin, iç kontrol yapısının etkinliğini düzenli bir
biçimde gözden geçirmesi gerekmektedir.
İç denetim, iç kontrol sisteminin etkinliği ve performans kalitesi ile ilgili
işletme yönetimine bilgi sağlar, değerlendirme yapar ve çeşitli önerilerde bulunur.
Her bir alanda sağlanan bilgiler, işletme ve yönetimin taleplerine ve ihtiyaçlarına
bağlı olarak farklılık gösterebilir.
102
İşletmelerde iç kontrol sisteminin verimliliği ve etkinliği ile performans
kalitesinin incelenmesi ve değerlendirilmesi, iç denetim fonksiyonunun kapsamını
oluşturur. Bu çerçevede iç denetçiler işletme faaliyetleri ve raporları üzerinde önemli
etkileri olan planlara, politikalara, kanunlara ve yönetmeliklere uygunluğu sağlamak
amacıyla oluşturulan sistemleri incelemeli ve işletmenin bunlarla uygunluk içinde
bulunup bulunmadığını tespit etmeleridir.
3.3. 5411 SAYILI BANKACILIK KANUNU ÇERÇEVESİNDE
BANKALARDA İÇ DENETİM SİSTEMİNE GETİRİLEN
DÜZENLEMELER
Bankaların denetimleri önem arz edince yasa koyucu bu konuda ilk
yükümlülüğü, bankacılık faaliyetleri yoluyla kar elde eden banka anonim
ortaklıklarına yüklemiştir. Bankaların, kendi kendilerini yaptıkları işlemler açısından
denetime tabi tutmaları, bu denetimi yapmak üzere özel denetim birimleri
oluşturmaları ve gereken durumlarda ilave birimler kurarak kendi iç denetimlerini
yerine getirmeleri gerektiği belirtilmiştir.( Çolak, 2003:57.)
Bu amaç doğrultusunda bankaların organizasyon yapısı içinde oluşturulan
Denetim komitesi, 5411 Sayılı Bankacılık Kanunu’nun 23. maddesine göre yönetim
kurulu adına bankanın iç kontrol, risk yönetimi ve iç denetim sistemlerinin
etkinliğini ve yeterliliğini, bu sistemler ile muhasebe ve raporlama sistemlerinin bu
kanun ve ilgili düzenlemeler çerçevesinde işleyişini ve üretilen bilgilerin
bütünlüğünü gözetmek, bağımsız denetim kuruluşlarının yönetim kurulu tarafından
seçilmesinde gerekli ön değerlendirmeleri yapmak, yönetim kurulu tarafından seçilen
bağımsız denetim kuruluşlarının faaliyetlerini düzenli olarak izlemek, bu kanun
kapsamında ana ortaklık niteliğindeki kuruluşlarda, konsolide denetime tâbi
kuruluşların iç denetim işlevlerinin konsolide olarak sürdürülmesini ve eşgüdümünü
sağlamakla görevli ve sorumludur.
103
5411 Sayılı Bankacılık Kanunu’nun(01.11.2005 Tarih ve 25983 mükerrer
sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.)
29. maddesinde iç sistemlere ilişkin yükümlülükler konusunda şu hüküm yer
almaktadır;
“Bankalar, maruz kaldıkları risklerin izlenmesi, kontrolünün sağlanması,
faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, tüm şube ve
konsolidasyona tâbi ortaklıklarını kapsayan yeterli ve etkin bir iç kontrol, risk
yönetimi ve iç denetim sistemi kurmak ve işletmekle yükümlüdürler. İç kontrol, risk
yönetimi ve iç denetim sistemlerinin kuruluşuna, işleyişine, yeterliliğine,
oluşturulacak birimlere, icra edilecek faaliyetlere, üst yönetimin görev ve
sorumlulukları ile Kuruma yapılacak raporlamalara ilişkin usul ve esaslar Kurulca
belirlenir.”
Kanun’un 30., 31. ve 32. maddeleri ise iç kontrol sistemi, risk yönetimi
sistemi ve iç denetim sistemine ilişkin hükümlerdir;
“Bankalar, iç kontrol sistemi kapsamında, faaliyetlerinin mevzuata, iç
düzenlemelerine ve bankacılık teamüllerine uygun olarak yürütülmesini, muhasebe
ve raporlama sisteminin bütünlüğünü, güvenilirliğini ve bilgilerin zamanında elde
edilebilirliğini her seviyedeki personeli tarafından uyulacak ve uygulanacak sürekli
kontrol faaliyetleri ile sağlamak, görevlerin fonksiyonel ayrımlarını, yetki ve
sorumlulukların paylaşımını, fon ödemelerini, banka işlemlerinin mutabakatını,
varlıkların korunmasını ve yükümlülüklerin kontrol altında tutulmasını temin etmek,
maruz kalınan her türlü riskin tanınması, değerlendirilmesi ve yönetimi için gerekli
alt yapıyı hazırlamak ve yeterli iletişim ağını oluşturmak zorundadır. İç kontrol
faaliyetleri yönetim kuruluna bağlı olarak çalışacak iç kontrol birimi ve personeli
tarafından yürütülür” (Bankacılık Kanunu m. 30).
“Bankalar risk yönetimi sistemi kapsamında, risk politikalarını Kurulca
belirlenen esaslar çerçevesinde oluşturmak, uygulamak ve raporlamak zorundadır.
Risk yönetimi faaliyetleri yönetim kuruluna bağlı olarak çalışacak risk yönetimi
104
birimi ve personeli tarafından yürütülür” (Bankacılık Kanunu m. 31).
“Bankalar bütün birim, şube ve konsolidasyona tabi ortaklıklarını kapsayan
bir iç denetim sistemi kurmak zorundadır. Bu çerçevede, faaliyetlerin mevzuata, ana
sözleşmeye, iç düzenlemelere ve bankacılık ilkelerine uygunluğu, banka müfettişleri
tarafından denetlenir. İç denetim faaliyetleri, tarafsız ve bağımsız bir şekilde, gerekli
mesleki özen gösterilerek, yeterli sayıda müfettiş tarafından yerine getirilir”
(Bankacılık Kanunu m. 32).
3.4. BASEL KOMİTESİ VE BANKALARIN İÇ DENETİMİNE YÖNELİK
GETİRİLEN DÜZENLEMELER
Basel Bankacılık Komitesi bankaların iç denetim sistemlerindeki temel
eksikliklerin neler olduğunu tespit edebilmek için bankacılıkta yaşanan güncel
sorunları incelemektedir. Bu incelemeler sonucu tüm banka yönetici ve
idarecilerinin, banka müfettişleri ile bağımsız dış denetçilerin ve gözetim ve
denetim68otoritelerinin iç denetim sistemlerinin güçlendirilmesi ve etkin olarak
işlerliğinin sağlanması konusuna daha fazla önem vermeleri gerektiğini ortaya
koymaktadır.
Bu bölümde genel olarak Basel Komitesi’nin kuruluş amacından söz edilerek,
komite’nin bankalarda iç denetim sistemlerine yönelik yayınladığı temel
prensiplerden bahsedilecektir.
3.4.1. Basel Komitesi’nin Kuruluşu ve Amacı
Bankaların iç kontrol ve denetimi konularında çalışmalar yapan bazı uluslar
arası kuruluşlar bulunmasına rağmen, bunların içinde en önemlisi olarak
görülebilecek olan Basel Bankacılık Gözetim ve Denetim Komitesi (Basel
Committee on Banking Supervision)’dir. Bu komite bankacılık gözetim ve
105
denetiminde uluslararası işbirliği sağlamak amacıyla G-10 ülkeleri Merkez Bankaları
Guvernörleri tarafından 1974 yılının Aralık ayında “Bankacılık Düzenleme ve
Denetim Uygulamaları Komitesi” (Committee on Banking Regulations and
Supervisory Practices) adıyla oluşturulmuştur. Komitede ülkeler (Belçika, Kanada,
Fransa, Almanya, İtalya, Japonya, Lüksemburg, Hollanda, İsveç, İsviçre, İngiltere,
ABD) ulusal bankacılık gözetim ve denetim otoriteleri ve merkez bankaları üst düzey
yetkilileri tarafından temsil edilmektedir. Komite üyeleri her üç ayda bir İsviçre’nin
Basel kentinde toplanmaktadır.( http://www.tbb.org.tr/turkce/basle/denetim.doc.)
Basel Bankacılık Gözetim ve Denetim Komitesi bankaların iç kontrol ve
denetimi konularında üye ülkelerin görüşlerinin de yer aldığı temel prensipler
yayınlamıştır. Yayınlanan bu prensiplerin tüm ülkelerde ve uluslararası alanda
gözetim ve denetim otoriteleri ve diğer kamu otoritelerince başvurulacak temel bir
kaynak olması amaçlanmaktadır. Gözetim ve denetim sistemlerinin yapısının
iyileştirilmesi ve güçlendirilmesi için çalışan ulusal gözetim ve denetim
otoritelerinin, bu dokümanda yer verilen tavsiyeler ışığında kendi mevcut
sistemlerini gözden geçirmeleri, sistemlerinin eksik ya da hatalı yanlarını dikkate
alarak hazırlanan bir programı kendi yetki alanları dahilinde en kısa sürede
uygulamaya geçirmeleri istenmektedir. Tüm ulusal gözetim ve denetim
otoritelerinden Basel Komitesi’nin oluşturduğu bu temel prensiplerin savunucusu ve
takipçisi olmaları beklenmektedir. (http://www.tbb.org.tr/turkce/basle/denetim.doc.)
3.4.2. Basel Komitesi’nin İç Denetim Sisteminin Değerlendirilmesine İlişkin
Yayınladığı Prensipler
Basel Komitesi'nin bankacılıkta etkin gözetim ve denetim prensipleri konuları
itibariyle aşağıdaki gibi sıralanmaktadır;
(http://www.tbb.org.tr/turkce/basle/denetim.doc.)
• Etkin bankacılık gözetim ve denetimi için ön koşullar
106
• Faaliyet izni ve yapı
• Bankaların ihtiyati yönetimine ilişkin düzenlemeler ve yükümlülükler
• Aralıksız banka denetimine ilişkin yöntemler
• Bilgi verme yükümlülükleri
• Gözetim ve denetim otoritelerinin yasal yetkileri
• Sınır ötesi bankacılık
Bankacılıkta gözetim ve risk yönetimi konusunda sürdürülen çalışmalar
çerçevesinde Basel Bankacılık Gözetim Komitesi’nin iç denetim sistemlerinin
değerlendirilmesine ilişkin temel prensipleri şunlardır;
(http://www.tbb.org.tr/turkce/basle/denetim.doc.)
• Bankacılıkta gözetim ve denetim işlevinin temel amacı mali sistemde istikrarı
ve güveni temin etmek ve böylece ödünç alan ve ödünç verenlerin maruz
kalacakları riskleri en aza indirmektir.
• Gözetim ve denetim otoritesi, her bankanın uygun yapıda ve yeterli
sorumlulukları taşıyan bir yönetim kurulu ve üst düzey yönetime sahip olması
ve mali piyasalarda şeffaflığın ve denetimin artırılmasını sağlamak suretiyle
piyasa disiplinin oluşturulması ve muhafaza edilmesini desteklemelidir.
• Gözetim ve denetim otoritesi taşıdığı sorumlulukları yerine getirmek ve
görevlerini etkin olarak sürdürebilmek için faaliyetlerinde bağımsız olmalı,
bankalardan gerekli bilgilerin temin edilmesi ve aldığı kararların uygulanması
konusunda gerekli yasal yetki ve araçlara sahip olmalıdır.
• Gözetim ve denetim otoritesi bir bankanın yaptığı işi tam olarak anlamalı ve
taşıdığı risklere ilişkin etkin risk yönetimi yapmasını sağlamalıdır.
• Etkin bankacılık gözetim ve denetimi her bir bankanın risk profilinin
bilinmesini ve denetime ilişkin kaynakların uygun olarak dağılımını
gerektirir.
• Gözetim ve denetim otoritesi bankaların taşıdıkları riskler için yeterli kaynak
bulundurmalarını (sermaye, güvenilir yönetim, etkin kontrol sistemi,
muhasebe kayıtları gibi) temin etmelidir.
107
• Diğer ülkelerin gözetim ve denetim otoriteleri ile dayanışma ve işbirliği
içinde olunmalıdır. Bu husus özellikle sınır ötesi faaliyet gösteren bankaların
denetiminde daha fazla önem taşımaktadır.
3.4.3.Basel Komitesi’nin İç Denetim Faaliyetlerine İlişkin Görev Dağılımı
Bankacılık denetimine ilişkin Basel Komitesi tarafından yayımlanan Çalışma
Belgesine (www.bis.org/publ/bcbs.pdf.) göre iç denetim, farklı sorumluluklar
taşımakla birlikte tüm banka personelinin içinde yer aldığı bir işlevdir. Tüm banka
personeli iç denetim işlevine doğrudan ya da dolaylı olarak katkıda bulunacak bir
bilgi üretmektedir. Tüm çalışanların kendi sorumluluklarını yerine getirmesi ve
görevleri dolayısıyla karşılaştıkları problemleri (etik kurallara aykırı uygulamalar ve
diğer banka stratejilerine aykırı olan ya da yasal olmayan faaliyetler gibi) kurum içi
kanallar aracılığıyla üst yönetime aktarmaları etkin bir denetimin sağlanmasında
önem taşımaktadır. Bunun en iyi şekilde sağlanması için görev ve yetkilerin yazılı
olarak tanımlanması ve ilgili personele ulaştırılması gerekmektedir. Banka içindeki
tüm personelin iç denetimin önemini anlaması ve aktif olarak bu sürece katılması
esastır.
İç denetim sisteminin, bağımsız ve uygun eğitime sahip banka
müfettişlerince yürütülecek etkin ve kapsamlı kontrolünün yapılması gerekir. Banka
müfettişlerince yürütülen kontroller iç denetim sisteminin önemli bir parçasıdır ve
doğrudan yönetim kurulu, teftiş kurulu ve üst düzey yönetime rapor edilmelidir.
Bankalarda iç denetim faaliyetleri, risk değerlendirme işlevi ile tespit edilen risklerin
izlenmesine olanak verecek şekilde düzenlenmeli ve sürdürülmelidir. Bankada
çalışan tüm personel denetim faaliyetlerinin kapsamındadır. Basel Bankacılık
Komitesi’nin denetim faaliyetlerine ilişkin görev dağılımı aşağıda sıralanmaktadır;
(http://www.tbb.org.tr/turkce/basle/denetim.doc.24.04.2006)
108
a) Üst Düzey Yönetimin İncelemeleri: Yönetim kurulu ve üst düzey
yöneticiler banka personelinden sık sık görevleri ile ilgili rapor ve sunum
yapmalarını isteyerek bankanın amaçları doğrultusunda gelişmeleri incelerler.
Örneğin; üst düzey yönetim mali hesap raporlarını inceleyerek bütçe hedeflerini
gözden geçirir. Bu inceleme sonucunda üst düzey yönetimin yönelteceği sorular
cevaplandırılır ve böylece bir denetim süreci işletilmiş olur.
b) Faaliyet Denetimi: Birim yöneticileri olağanüstü durumlar hakkında
günlük haftalık ve aylık raporlar ile genel performans raporlarını inceler ve
değerlendirir. Birim yöneticilerince yapılan incelemeler üst düzey yönetimce yapılan
incelemelerden daha sık ve daha detaylı olmaktadır. Örneğin; ticari kredilerden
sorumlu müdür haftalık raporlarda kredi geri ödemeleri ve faiz gelirlerini incelerken,
kredilerden sorumlu üst düzey sorumlu ise benzer raporları aylık bazda inceler ve
tüm sektörlere verilen kredileri daha özet bir formatta görmek ister. Daha üst
yönetimin incelemeleri sonucu ise ortaya konulan sorular ve alınan yanıtlar denetim
sürecinin işleyişini gösterir.
c) Fiziksel Denetimler: Daha çok bankaya ait maddi varlıkların kullanımına
yönelik sınırlamaları içerir (nakit para, menkul kıymetler gibi). Denetim faaliyeti söz
konusu bu sınırlamaları ve periyodik envanterleri içerir.
d) Tanınan Limitlere Uygunluk: Bankacılığa ilişkin genel risk sınırlarına
bağlı kalınması risk yönetiminin bir gereğidir. Örneğin, kredi verme limitlerine
uyulması bankanın kredi riskini azaltacağından risk profilinin değişmesini de
sağlayacaktır. Dolayısıyla, iç denetimin en önemli kısmı bankanın genel risk
sınırlarına uyup uymadığının incelenmesidir.
e) Onay ve Yetki: Belli limitlerin üzerindeki işlemler için onay ve yetki
gerekliliği üst yönetim seviyelerinin söz konusu işlemlerden haberdar olmasına
imkan verir ve kendilerine sorumluluk yükler.
109
f) Sorgulama ve mutabakat: İşlem detaylarının ve kullanılan risk yönetim
modellerine ait çıktıların sorgulanması önemli bir denetim faaliyetidir. Periyodik
olarak yapılan mutabakat toplantıları, (nakit akışı ile hesap verilerinin
karşılaştırılması gibi) işlem ve kayıtların karşılaştırılarak doğrulanmasına imkan
verir. Bu mutabakatlar uygun üst düzey yöneticilere rapor edilerek mevcut
problemlerin saptanması sağlanır.
3.5. BANKALARDA İÇ DENETİM SİSTEMİNİN YAPISI
Bankalar, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara
cevap verebilecek nitelik, yeterlilik ve etkinlikte, uygun iç denetim ve risk yönetim
sistemlerini kurmak, devam ettirmek ve geliştirmek zorundadırlar. İç denetim yapısı
kapsamındaki iç kontrol, teftiş ve risk yönetimi fonksiyonları içindeki faaliyetler,
yönetim kurulu, üst düzey yönetim, bankanın her düzeydeki personeli ile teftiş
kurulu, iç kontrol merkezi ve risk yönetimi grubu tarafından yürütülür. İç denetim ve
risk yönetim düzenlemeleri, bu birimlerin birbirinden bağımsız, iç kontrol işlevi
kapsamında banka yönetim kuruluna ve üst düzey yönetimine karşı ayrı ayrı sorumlu
olmalarını sağlayacak şekilde yapılmalıdır. (Aslan, 2003:77-78.)
3.5.1. İç Kontrol Merkezi
SPK tarafından yayınlanan Seri:X 16 No’lu Sermaye Piyasasında Bağımsız
Dış Denetim Hakkında Tebliğ’in 28. maddesine göre İç kontrol sistemi;
“Yönetim politikalarına uymak da dahil olmak üzere işlerin düzenli ve etkin
yürütülmesi, varlıkların korunması, hata, hile ve usulsüzlüklerin önlenmesi ve
belirlenmesi, muhasebe kayıtlarının doğru ve eksiksiz olması ve mali bilgilerin
güvenilir olarak zamanında derlenmesi amacıyla işletmede uygulanan organizasyon
planı ile bunlara ilişkin tüm yöntemleri kapsayan bir süreçtir.”
110
Bankalarda iç kontrol sistemi ise, banka faaliyetlerinin, yönetim stratejisi ve
politikaları çerçevesinde düzenli, verimli ve etkin bir şekilde mevcut yasa ve
kurallara uygun olarak bilgilerin zamanında elde edilebilirliğini sağlamak amacıyla,
bankanın üst düzey yönetimi tarafından oluşturulan yönetim biçimi ve organizasyon
yapısı kapsamında yürütülen ve her düzeydeki personel tarafından uyulması ve
uygulanması zorunlu olan kontrol faaliyetlerinin tümüne denilmektedir. Bankanın
her faaliyeti ve her birimi iç kontrol kapsamına girer. İç kontrol sürekli bir faaliyet
olarak, iş akımlarının gerçekleştirildiği süreçlerin içinde, yerinde ve uzaktan izleme
yoluyla yürütülür. Tüm birimler arasında gerekli olan sürekli iletişim iç kontrol
merkezi tarafından sağlanır. (Aslan, 2003:79).
İç kontrol işlevi kapsamındaki faaliyetler, yönetim kurulu, üst düzey yönetim
ve bankanın her seviyedeki personeli ile teftiş kurulu, iç kontrol merkezi ve risk
yönetimi grubu tarafından yürütülür. Yönetim kurulu, bu birimlerin, görevlerini
bankanın temel faaliyetlerinden bağımsız olarak ve objektif bir şekilde yerine
getirmeleri için gerekli tüm tedbirleri almakla veya alınmasını sağlamakla yükümlü
kılınmışlardır. (Takan, 2003:497).
İç kontrol Merkezi, bankalarda iç kontrol faaliyetlerinin tasarımı, yönetimi ve
eşgüdümü amacıyla doğrudan yönetim kuruluna bağlı olarak kurulur. İç kontrol
merkezinde bir başkan ile yeteri kadar iç kontrol elemanı görev yapar. İç kontrol
merkezinin çalışma esas ve usulleri , yönetim kurulu tarafından, teftiş kurulu ile üst
düzey risk komitesinin görüşü alınarak tespit edilir. İç kontrol merkezi fiziki olarak
banka genel müdürlüğünde yer alır. (Takan, 2003: 505).
Yönetim kurulu, banka ile konsolidasyon kapsamındaki kuruluşlarda
kendisine bağlı operasyonel ya da icracı birimler bulunmayan bir üyesini, iç denetim
işlevinin sürdürülmesi için görevlendirir. Bu üye, yönetim kurulu adına, kendisine
sunulan risk değerlendirmelerini, denetim planlarını, denetim programlarını,
raporlarını ve belgelerini kontrol eder ve bunlarla ilgili işlemlerde, teftiş kurulunun,
iç kontrol merkezinin ve risk yönetimi grubunun ilişkilerinin eşgüdümünü gözetir,
111
yönetim kuruluna bu hususlarda bilgi akışını temin eder, oluşturulacak politikaları,
usul ve esaslar hazırlar ve yönetim kurulunun onayına sunar. (Takan, 2003:505-506).
Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik
(BDDK tarafından 08.02.2001 tarih ve 24312 sayılı Resmi Gazete'de yayımlanarak
yürürlüğe girmiştir)ile bankaların karşılaştıkları risklerin izlenmesi ve kontrolünü
sağlamak üzere kuracakları iç denetim sistemleri ve risk yönetim sistemlerine ilişkin
esas ve usuller ayrıntılı bir şekilde düzenlenmeye çalışılmıştır.
Yönetmeliğin 2. maddesinde öngörüldüğü şekliyle “İç kontrol merkezi”,
“bankanın iç kontrol faaliyetlerini tasarlayan, idare eden ve eşgüdümünü sağlayan
yapılanmayı” ifade etmektedir.
Yönetmelikte öncelikle ve geniş olarak iç kontrol işlevi kavramı üzerinde
durulmuştur. İç kontrol işlevi yönetmelik kapsamında, banka faaliyetlerinin, yönetim
stratejisi ve politikalarına uyumlu olarak düzenli, verimli ve etkin bir şekilde, mevcut
mevzuat ve kurallar çerçevesinde yürütülmesini, hesap ve kayıt düzeninin
bütünlüğünü ve güvenilirliğini, veri sistemindeki bilgilerin zamanında elde
edilebilirliğini sağlamak amacıyla, banka yönetim kurulu ve üst düzey yönetimi
tarafından tesis edilen yönetim tarzı ve organizasyon yapısı kapsamında yürütülen ve
her seviyedeki personel tarafından uyulması ve uygulanması gereken kontrol
faaliyetlerinin tümü olarak tanımlanmıştır.
Aynı zamanda Yönetmeliğin 24. maddesine göre bankalar, iç kontrol
faaliyetlerinin tasarımı, idaresi ve eşgüdümü amacıyla doğrudan yönetim kuruluna
bağlı bir iç kontrol merkezi tesis ederler. İç kontrol merkezinde bir başkan ile yeteri
kadar iç kontrol elemanı görev yapar. İç kontrol merkezinin çalışma esas ve usulleri,
yönetim kurulu tarafından, teftiş kurulu ile üst düzey risk komitesinin görüşü
alınarak saptanır. İç kontrol faaliyetlerinden bazılarının teftiş kurulunca
gerçekleştirilmesinin kararlaştırılması halinde, diğer kontrol faaliyetlerinin nasıl ifa
edileceği iç kontrol merkezi tarafından saptanır. Bankada standartların yerine
getirilip getirilmediği, kurallara ve sınırlamalara uyulup uyulmadığı, hedeflere
112
ulaşılıp ulaşılamadığı hususları, belirlenen değişik yönetim kademelerinde ve ilgili
kontrol basamak ve noktalarında kontrol edilerek tespitlerin niteliği de dikkate
alınmak suretiyle normal veya acil bir şekilde iç kontrol elemanlarınca ilgili yönetim
kademesine ve iç kontrol merkezine aynı zamanda bildirilmesi temin edilir. İç
kontrol elemanlarının görev yaptığı mahaldeki bankanın faaliyetlerini yürüten diğer
personelle olan kontrol ilişkisinin iç kontrol merkezi tarafından eşgüdümü sağlanır.
İç kontrol sürecinin etkinliği iç kontrol merkezi tarafından izlenerek değerlendirilir
ve gerektiğinde bu süreçte yeni ya da daha önceden karşılaşılmamış veya
tanımlanmamış riskleri de kapsamına almak üzere kontrol etkinliğini koruyacak
değişiklikler hızla gerçekleştirilir.( Takan, 2003:506).
3.5.1.1. Bankalarda İç Kontrol Faaliyetleri
08.02.2001 tarih ve 24312 sayılı Resmi Gazete’de yayımlanan Bankaların İç
Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik’te bankalarda iç kontrol
süreci ve faaliyetleri ile ilgili olarak aşağıdaki unsurlara yer verilir;
a) Yönetim Kurulu İle Banka Üst Düzey Yönetiminin Gözetim Ve
İncelemeleri: Banka yönetim kurulu, bankanın amaç ve hedefleri doğrultusunda
gelişmeleri, bütçe ve performans hedeflerine uygunluğunu gözler ve ortaya çıkan
aksaklıklar için uyarı yapmak suretiyle iç kontrol sürecine işlerlik kazandırır.
b) Faaliyet Kontrolleri: Bu kontroller, birim veya servis yöneticilerinin
olağanüstü durumlar hakkında günlük, haftalık ve aylık raporlar ile genel performans
raporlarını incelemelerini ve değerlendirmelerini kapsar.
c) Maddi Unsurlara İlişkin Kontroller: Genellikle bankaya ait nakit para,
menkul kıymetler gibi finansal varlıklar da dahil olmak üzere maddi varlıklara
erişilebilmesine, bunların kullanımına ve saklanmasına yönelik kurallara ve
sınırlamalara uyumun incelenmesini, tüm maddi varlıkların periyodik envanterinin
çıkarılmasını ve değerlendirilmesini içerir.
113
d) Limitlere Uygunluk İncelemeleri, Aşım Ve Aykırılıkların Takibi: Genel
ve özel risk sınırlarına uyulup uyulmadığı incelenir ve limit aşımları yakından
izlenir.
e) Onay Ve Yetki Sistemi: Organizasyon yapısı içinde işlevsel görev
ayrımları yapılır, çift taraflı ve çapraz kontrol ve imza usulleri tesis edilir, yetki ve
sorumluluklar açıkça tanımlanır, belirli limitlerin üzerindeki işlemler için onay ya da
yetki alınması yükümlülüğü konulur.
f) Sorgulama Ve Mutabakat Sistemi: İşlem detaylarının ve kullanılan risk
yönetim modellerine ait çıktıların tutarlılığının araştırılması, hesapların
karşılaştırılması, kontrol listelerinin hazırlanması ve periyodik mutabakatların
gerçekleştirilmesi suretiyle iç kontrol sistemi etkin bir biçimde işletilir. Bu
incelemeler sonucunda saptanan mevcut veya potansiyel sorunlar yetkili üst düzey
yöneticilere rapor edilir.
3.5.1.2. İç Kontrol Merkezinin Yapısına İlişkin Esaslar
08.02.2001 tarih ve 24312 sayılı Resmi Gazete’de yayımlanan Bankaların İç
Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelikte İç Kontrol Merkezinin
Yapısına İlişkin esasları aşağıda sıralanmaktadır;
• İç kontrol işlevi kapsamındaki faaliyetler, yönetim kurulu, üst düzey yönetim
ve bankanın her seviyedeki personeli ile teftiş kurulu, iç kontrol merkezi ve
risk yönetimi grubu tarafından yürütülür. Yönetim kurulu, bu birimlerin,
görevlerini bankanın temel faaliyetlerinden bağımsız olarak ve objektif bir
şekilde yerine getirmeleri için gerekli tüm tedbirleri almakla veya alınmasını
sağlamakla yükümlüdür. Teftiş kurulu, iç kontrol merkezi ve risk yönetim
grubunun yetki ve sorumluluk alanları, eleman sayısı ve bunların aralarındaki
işbirliği, yönetim kurulunca belirlenir.
114
• Yönetim kurulu, bankanın kontrol faaliyetlerine ilişkin önemli strateji ve
politikaları oluşturarak, onaylar, uygulanmasını dönemsel olarak inceler ve
bankanın bünyesinde kurumsal yapıya uygun ve etkin bir iç denetim sistemi
ile risk yönetim sisteminin kurulması ve sürdürülmesi hususunda gerekli
tedbirleri alır. Yönetim kurulu, yönetmelikte belirtilen esaslara uygun olarak
bankanın genel yönetim yapısında iç denetim ve risk yönetim sistemlerine
açıkca yer verir; bu sistemlerin idari yapısına, personelin teminine, kalitenin
sağlanmasına ilişkin esas ve usulleri belirler.
• Üst düzey risk komitesi, bankanın konsolide ve konsolide olmayan bazda
izleyeceği risk yönetimi stratejilerinin, politikalarının hazırlanmasından,
yönetim kurulunun onayına sunulmasından ve uygulamaların izlenmesinden
sorumlu tutulur .
• Etkin bir iç kontrolün sağlanmasında, tüm personelin kendi sorumluluklarını
yerine getirmeleri, meslek ilkeleriyle bağdaşmayan uygulamalar ile görevleri
dolayısıyla karşılaştıkları banka politikalarına aykırı veya yasal olmayan 78
faaliyetler gibi hususları üst düzey yönetime aktarmaları için görev ve
yetkiler, yazılı olarak tanımlanır ve ilgili personele bildirilir.
• Yönetim kurulu, mesleki ve ahlaki standartların geliştirilmesini ve her
seviyedeki personelin iç kontrolün önemini ve üzerine düşen yükümlülüğü
özümsemesini sağlayacak kurum içi kontrol kültürünün oluşturulmasını
sağlar. İç kontrollerle ilgili detaylı uygulama usullerinin oluşturulması
konusunda banka bünyesinde özel birimler görevlendirebilir.
• İç kontrol işlevinin iyi çalışmasının ve gerekli bilgi ihtiyacının
karşılanmasının sağlanması bakımından verilerin ve diğer bilgilerin
elektronik ortamda saklanılmasına ve kullanılmasına olanak veren, güvenilir
etkin yönetim bilgi sistemlerinin tesis edilmesi zorunludur.
• İç denetim sisteminin etkin bir şekilde çalışmasının sağlanması bakımından,
bankalarda yeterli ve etkin bir iletişim sistemi tesis edilir. Bankanın
organizasyon yapısı içinde bilginin yukarıdan aşağıya, aşağıdan yukarıya ve
yatay olmak üzere bankanın tüm yönetim kademeleri ile personeline ulaşacak
biçimde akışı ve bankanın amaçları, politikaları, uygulama usulleri ve
115
beklentileri hakkında alt birim yöneticilerinin ve operasyonda görevli
personelin tam anlamıyla bilgi sahibi olması sağlanır. Personele
yönlendirilecek bilgilerin içeriğinde banka faaliyetlerine ilişkin politikalara,
bunların uygulama usullerine ve bankanın faaliyet performansına ilişkin
verilere yer verilir. Banka personelinin görev ve sorumluluklarına ilişkin
kuralları bilmeleri ve gerekli bilgilerin ilgili personele hızlı bir biçimde
ulaşması sağlanır.
• Bankalar iç denetim faaliyetlerini, iç denetime ilişkin yürürlükteki mevzuatta
yer alan iç denetim standartlarına göre yürütürler. Bu standartların mevzuatta
belirlenmemiş veya bu Yönetmeliğin uygulanması bakımından yeterince açık
olmadığı hallerde uluslararası düzeyde kabul gören “İç Denetçiler
Enstitüsünün (IIA) İç Denetime İlişkin Profesyonel Uygulama Standartları”
(The Institute of Internal Auditors’ Standards for the Professional Practice of
Internal Auditing) dikkate alınır.
İç sistemden sorumlu üye ve komitenin nitelikleri ;
• Grupta nitelikli pay sahibi olmaması,
• İcrai görevleri olanlarla 2.dereceye kadar hısımlığı olmaması,
• 5 yıldan fazla aynı bankada iç sistemler sorumlusu olmaması,
• Banka veya ana ortaklıklarından herhangi bir ad altında gelir sağlanmaması,
• Genel Müdür ve Genel Müdür yardımcısı için yasada aranan öğrenim
koşuluna haiz ve bankacılık ve finans alanında deneyim sahibi olması,
• Son 5 yılda söz konusu bankada veya ortaklığında çalışmış olmaması
gerekmektedir(www.tcmb.trnc.net/konvesun/sunum-ekim-2008.pdf).
116
3.5.1.3. İç Kontrol Merkezi Üyelerinin Görev ve Sorumlulukları
İç kontrol merkezi, banka bünyesinde oluşan finansal, işlevsel ve diğer
kontrol sisteminin tümünü kapsar. Merkez istenilmeyen olayları önleyici kontrol
faaliyetlerini, istenilmemekle beraber meydana gelmiş olaylarda kanıtlayıcı ve
düzeltici niteliğe sahip araştırıcı kontrol faaliyetlerini ve beklenen bir faaliyetin
oluşmasını teşvik edici niteliğe sahip yönlendirici kontrol faaliyetlerini düzenler. Bu
kontroller, yönetsel kontroller ile finans ve muhasebe kontrollerini, operasyonel
kontrolleri, finansal ürün ve hizmetlerle ilgili kalite kontrollerini kapsar.
(Aslan,2003:122).
Bankanın üst düzey yönetiminde, banka iç kontrol merkezinin şu amaçları
gerçekleştirecek şekilde oluşturulduğu belirtilmiştir;
• Bankanın tüm işlemlerinin kanunlar, tüzükler ve yönetmelikler başta olmak
üzere tüm yasal düzenlemelere, yönetim kurul karar ve direktiflerine ve genel
müdürlük talimatlarına uygun olarak yapılıp yapılmadığını kontrol etmek,
• Bankanın tüm organizasyon ve faaliyetleri ile kontrolünde bulundurduğu ve
konsolidasyon kapsamındaki iştirak şirketleri ile bankanın sunduğu hizmetlere destek
sağlayan şirketlerde denetimde bulunmak, bu konularda yönetim kuruluna ve banka
yönetimine bilgi aktarmak,
• Bölümlerin ve konsolide bazda bankanın finansal performansı ile ilgili gerekli
inceleme ve kontroller yapmak,
• Bankanın bilançosunu ve diğer resmi raporların mevcut yasal düzenlemelerle
sirküler ve izahnamelere uygunluğunun kontrolünü gerçekleştirmek,
• Erken uyarı sistemleri gerçekleştirerek olası riskleri önceden bildirmek ve
önlem alınmasını sağlamak,
117
• Tüm personelin, kendi sorumluluklarını yerine getirmeleri, banka
politikalarına aykırı ve yasal olmayan faaliyetler gibi hususları üst düzey yönetime
aktarmaları konusunda bilinçlenmelerini sağlamak ve bu konularla ilgili rapor
hazırlayarak ilgili mercilere göndermek.
Bu bankanın iç kontrol merkezinin belirtilen amaçlar doğrultusunda yerine
getirdiği görev ve sorumlulukları ise şunlardan oluşmaktadır;
• Bankada etkin bir iç denetim yapısı oluşturmak ve işletmek, sürekli şekilde
gözden geçirmek ve değerlendirmek,
• Bankada yürütülen iç kontrol faaliyetlerinde bütünlüğü sağlamak,
• Banka işlem ve faaliyetlerinin mevzuata, BDDK’ca belirlenen standartlara ve
banka politikası ile etik kurallara uygunluğunu denetlemek,
• BDDK tarafından denetleme faaliyetleri ile ilgili olarak istenen bilgileri ilgili
kuruma raporlamak,
• Bütün banka işlemlerinin belirli kurallara bağlanmasını ve standardize
edilmesini sağlayarak denetimin etkinliğini artırmak,
• Bankanın muhasebe kayıtları ile mali tabloların doğruluğunu incelemek ve
güvenilirliğini denetlemek,
• Bankaya ait para, menkul kıymet gibi maddi varlıklara erişilebilmesine,
bunların kullanımına ve saklanmasına yönelik kuralların ve sınırlamaların
uygunluğunu denetlemek,
• İşlem ve faaliyetlere yönelik olarak genel müdürlükçe belirlenen genel ya da
özel risk sınırlarına uyulup uyulmadığını incelemek ve limit aşımlarını takip etmek,
118
• Denetim faaliyetlerine ilişkin denetim planları ve raporları hazırlamak,
denetim sonuçlarını değerlendirmek, bu sonuç ve değerlendirmeleri gerektiğinde üst
yönetime, denetim komitesine ve yönetim kuruluna raporlamak,
• Bankanın her seviyesinde iç kontrol kültürünün oluşması amacıyla gerekli
önlemleri almak ve uygulamak,
• Bankanın iç kontrolüne yönelik yönetmelik oluşturmak, iç denetim
faaliyetlerine ilişkin esas ve ilkeleri belirlemek,
• Eğitim programlarının hazırlanması ve eğitimin verilmesinde, eğitim birimine
destek vermek.
Bununla birlikte iç kontrol merkezinin kuruluş, görev, yetki ve
sorumluluklarını, iç kontrol merkezi tarafından denetlenenlerin yükümlülüklerini, iç
kontrol elemanlarının çalışma ilke ve yöntemlerini belirlemek amacıyla iç kontrol
merkezi yönetmeliği hazırlanmıştır. Banka, yönetmeliğe ek olarak kontrol
merkezinin organizasyon yapısını da oluşturmak zorundadır. Banka yönetmeliği
kapsamında oluşturulan iç kontrol merkezi organizasyon yapısı aşağıdaki şekilde
belirtilmiştir.
TABLO-3 : Bankalarda İç Kontrol Merkezinin Organizasyon Yapısı
119
Bankanın iç kontrol merkezi bir başkan, yeterli sayıda müdür, müdür
yardımcısı, uzman, uzman yardımcısı ve büro personelinden oluşmaktadır. Başkan
ve müdürlerin dışındaki diğer personele iç kontrol elemanı olarak genel bir isim
verilmektedir.
Bankanın iç kontrol merkezinde yer alan üyelerin görev, yetki ve
sorumlulukları aşağıdaki hususları kapsamaktadır;
a) İç Kontrol Merkezi Başkanının Görev, Yetki Ve Sorumlulukları;
• İç kontrol merkezini yönetmek, iç kontrol elemanlarının çalışmalarını
düzenlemek ve denetlemek,
• İç kontrol usullerini gösteren uygulama talimatlarını hazırlama, onaylanan iç
kontrol programlarını uygulamak, uygulama aşamasında ortaya çıkabilecek
güçlükleri giderecek önlemleri almak,
• Müdürlerden ve elemanlardan gelen raporları her aşamada incelemek,
120
uygulama birliğinin sağlanması amacıyla gerekli önlemleri almak,
• Kontroller sonrasında hazırlanan raporları ilgili bölümlere ve gerekli
durumlarda teftiş kurulu başkanlığına iletmek,
• İç kontrol merkezinin kadrosunu önermek, iç kontrol elemanlarının göreve
alınmaları ve terfi ettirilmelerine ilişkin işlemleri yerine getirmek ve iç kontrol
elemanları hakkında performans raporları düzenlemek,
• İç kontrol merkezinin faaliyetleri ve sonuçları hakkında dönemler itibariyle
raporlar hazırlayarak görevli yönetim kurulu üyesi ve genel müdüre sunmak,
b) Hazine İç Kontrol Merkezi Müdürlüğünün Görev Ve Sorumlulukları;
• Bölümlerin hazine, menkul ve bunlarla ilgili operasyon işlemlerinin
uygunluk, verimlilik ve karlılık kriterleri çerçevesinde yönetildiğini kontrol etmek,
• Hazine ve menkul riskleri ile ilgili limit ve standartları denetlemek, aşım ve
aykırılıkları takip etmek ve işlemlerle ilgili muhasebeleştirme farklılıklarını
belirlemek,
• Hazine işlemlerinin politikalarını, stratejilerini ve yazılı standartlarını
denetlemek.
c) Kredi İç Kontrol Merkezi Müdürlüğünün Görev Ve Sorumlulukları;
• Bireysel ve kurumsal krediler ile kredi kartları işlemlerinin uygunluk,
verimlilik ve karlılık kriterlerine göre yönetildiğini kontrol etmek,
• Limit, teminat, ödeme gücü kriterleri açısından mevcut riskleri
değerlendirmek ve müşterileri risk gruplarına göre ayırmak,
121
• Kullandırılan kredilerin 5411 Sayılı Bankacılık Kanunu’nda belirtilen
sınırlamaları ile ilgili hükümlere uygunluğunu denetlemek.
d) İç kontrol Merkezinde yer alan Operasyon İç Kontrol Müdürlüğünün
Görev Ve Sorumlulukları;
• Mevduat, dış işlemler, idari işler ve satınalma, insan kaynakları, inşaat-emlak,
kasa ve kıymetli evrak, koruma ve emniyet, mutabakat,sigorta, takas ve muhasebe
işlemlerini kontrol etmek,
• Telefon bankacılığı, internet, ATM, nakit yönetimi gibi hizmetlerin etkin ve
verimli bir şekilde yönetildiğini kontrol etmek,
• Karaparanın aklanmasının önlenmesine yönelik uygulamaları incelemek.
e) Finansal İç Kontrol Merkezi müdürlüğü’nün Görev Ve Sorumlulukları:
• Banka bilançosunun ve diğer resmi raporların mevcut yasal düzenlemelere
uygunluğunu kontrol etmek ve yasal yükümlülüklerin zamanında ve eksiksiz olarak
yerine getirildiğini denetlemek,
• Bölümlerin hazırladığı ve banka üst yönetimine sunduğu raporların yeterlilik
ve doğruluğunu incelemek,
• Bütçe verilerini gerçekleşen rakamlarla karşılaştırarak sapmaları belirlemek,
• Bölümlerin, şubelerin ve konsolide bazda bankanın finansal performansını
inceleyip, kontrolleri yerine getirmek,
122
• Tek Düzen Hesap Planı’na uygunluk kontrollerini yürütmek.
İç kontrol elemanları, banka faaliyetlerini sürekli izleyen, inceleyen ve kontrol
eden, denetledikleri birim veya şubeden bağımsız olarak doğrudan iç kontrol
müdürlüğüne bağlı çalışan, şube veya birimde herhangi bir servis veya yöneticiye
bağlı olmayan, denetimleri sırasında ortaya çıkan soruşturma konusunu hemen
müdürlüğe bildiren personeldir. İç kontrol elemanları aynı zamanda
görevlendirildikleri birimde her türlü bilgi ve belgeyi izleme, inceleme, araştırma
yapma ve gerektiğinde görev konusu ile ilgili olarak banka personelinden ek
açıklama isteme, denetledikleri birim veya şubenin, görev konuları ile ilgili
işlemlerinin, öncelikle yasal düzenlemeler olmak üzere banka mevzuatına, bankanın
yararlarına ve banka yönetiminin hedef ve politikalarına uygunluğunu kontrol etme,
bankada standartların yerine getirilip getirilmediğini tespit edip rapor halinden
sorumlusu olduğu iç kontrol müdürlerine iletmekle yükümlüdürler.
TABLO - 4: Banka Merkez Şubelerinde İç Kontrolün Fonksiyonel ve İdari
İlişkisi
123
Bankanın iç denetim görevini yerine getirecek iç kontrol elemanları tespit
edildikten sonra konu ile ilgili meslek içi eğitime tabi tutulmaktadır. İç kontrol
elemanları eğitim sonrası bankanın şube örgütlenmesine uygun olacak şekilde
kurumsal şube, merkez şube ve merkez şubelere bağlı büyük, orta ve küçük ölçekli
şubelerde görev almaya başlamaktadırlar.
Banka şubelerinde görev alan iç kontrol elemanları, öncelikle iç kontrol
merkezi tarafından çıkarılmış olan yönetmeliğe uygun olarak günlük, haftalık, aylık,
altı aylık ve yıllık faaliyet planlarını hazırlamak zorundadır. İç kontrol elemanları
çeşitli kontrol dökümanlarını kullanarak gözlemlerine dayalı kontrol ya da
incelemelerinin sonucunu raporlara bağlamaktadır.
Raporlar, iç kontrol elemanlarının denetledikleri birimin veya şubenin
kontrol bölüm müdürüne veya ilgili yönetmene gereği yapılmak üzere verilir.
Sonuçlar ise başkanlığın belirleyeceği prosedürlere göre ya bağlı grup başkanına ya
124
da İç Kontrol Merkezi’ne gönderilir. Başkanlığa gönderilen iç kontrol raporları,
genel müdürlüğün ilgili birimlerinde değerlendirilir, genel müdürlük birimi, raporlar
çerçevesinde şubelere gerekli talimatı verir.
3.5.2. Banka Teftiş Kurulu
3.5.2.1. Teftiş Kavramı
Teftiş; bankanın ve bankanın denetlemekle yetkili ve görevli olduğu
kuruluşlarca yapılan her türlü işlem ve çalışmaların yasa, tüzük, yönetmelik, karar,
tebliğ, ana sözleşme, genelge, emirler, genel mektup ile yıllık iş programları
çerçevesinde belirlenen hedeflere uygun olarak yapılıp yapılmadığının saptanması
yönünde müfettiş ve müfettiş yardımcıları tarafından sürdürülen, ayrıca şube ve
birimlerin daha üstün bir düzeye ulaşmalarını amaçlayan önerileri de içeren denetim
ve inceleme çalışmalarının tümüdür. (Borhan, 2000: 3.)
3.5.2.2. Teftiş Yöntemleri
Çalışmada ele alınan bankanın Teftiş Kurulu’nda uygulanan teftiş
yöntemleri;
a) Olağan teftiş
b) Kısa süreli teftiş
c) Ani sayım ve mutabakat
d) Özel amaçlı teftiş
şeklinde 4 grupta sınıflandırılmaktadır.
a) Olağan Teftiş; Şube ve birimlerdeki tüm servislerin denetlendiği teftiş
türüdür. Servis ayırımına uygun olarak denetim yapılır. Teftiş sonunda raporlar;
birim müdürlükleri ayrımına uygun olarak birbirini izleyen sayfalar şeklinde ve her
müdürlük için ayrı ayrı düzenlenir.
125
b) Kısa Süreli Teftiş; Şubelerin önem ve ağırlık taşıyan servislerinden bir ya
da en çok 7 iş günü süresi ile denetlediği teftiş türüdür. Bu teftiş süresinde teftişe ilk
olarak sayımlar ile başlanır. Daha sonra ticari ve bireysel krediler ile muhasebe
servislerinin teftişi yapılır. Bu teftişlerde;
• Ticari krediler servisinde, aşım, güvence, akışkanlık ve diğer kullanım
koşullarına uygunluk,
• Bireysel krediler servisinde; vadesinde tahsil edilmemiş taksit tutarları ve
bunlara ilişkin kredi dosyaları,
• Muhasebe servisinde ise; alacaklı-borçlu geçici hesaplar, muhtelif alacaklar-
borçlar hesapları ile açık kayıtlar incelenerek bir usulsüzlüğe yer verilip verilmediği
hususları denetlenir.
c) Ani sayım ve mutabakat; Teftiş Kurulu Başkanlığı’nın uygun göreceği
süre ve içerikte, yaptığı bir program doğrultusunda belirlediği; şube ve birimlerdeki
nakit değerlerin sayılarak, kayıtlara uygunluğunun denetlendiği ve sonuçların yazı ile
Başkanlığa bildirildiği denetim türüdür.
d) Özel amaçlı teftiş; Genel Müdürlük birimlerinin ihtiyaç duymaları halinde
Genel Müdürden alacakları onay üzerine, belirli işlem, ürün pazarlaması ya da
servislerin denetlenmesi amacıyla geçici veya dönemsel olarak yapılan teftiştir. Özel
amaçlı teftişlerde belirlenen hedeflere ve güdülen amaca göre yapılacak
incelemelerin sonucunun ne şekilde ve hangi sisteme göre Teftiş Kurulu
Başkanlığı’na bildirileceği Başkanlıkça belirlenerek müfettişlere iletilir.
3.5.2.3. Teftiş İşlemlerinin Uygulanmasında Yer Alan Kanıt Türleri
Ele alınan bankanın teftiş işlemlerinin uygulanması aşamasında gerekli kanıt
türleri ise fiziki kanıtlar, doğrulamalar, belgelenmiş kanıtlar, görsel kanıtlar, sözlü
126
kanıtlar, matematiksel kanıtlar, analitik kanıtlar ve yazılı bildirimlerden
oluşmaktadır.
a) Fiziki Kanıtlar; İlgili varlığın fiziki olarak incelenmesidir.
b) Doğrulamalar; Hakkında bilgi sorulmuş konularda bilgi sahibi üçüncü
kişilerin verdikleri cevaplardır.
c) Belgelenmiş Kanıtlar; Toplantı tutanakları, ekstreler, dekontlar, çekler,
faturalar, makbuzlar vb.
d) Görsel Kanıtlar; Gözlem, fiziki inceleme, ve sayımlar sonucunda elde
edilirler.
e) Sözlü Kanıtlar; Sözlü soruşturmalar sonucunda elde edilen kanıtlardır.
f) Matematiksel Kanıtlar; Hesaplamalar sonucunda elde edilen kanıtlardır.
g)Analitik Kanıtlar; İşlemlerin değeri, fiziksel miktarlar, oranlar ve
yüzdelerden yararlanılarak denetçiye dolaylı yoldan tahmini bilgiler sağlayan
kanıtlardır. Finansal oranlar, çeşitli istatistiki analiz yöntemleri, her türlü ekonomik
karşılaştırmalar analitik kanıtlar kapsamındadır.
BDDK’nın Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında
Yönetmeliğinin 26. maddesinde; (08.02.2001 tarih ve 24312 sayılı Resmi Gazete).
“Teftiş kurulu başkanlığının, müfettişlerin ve müfettiş yardımcılarının, yetki ve
sorumlulukları ile buna bağlı faaliyetleri teftiş işlevinin hedefleri, kapsamı, teftiş
kurulunun banka içindeki konumu, yönetim kurulunca yürürlüğe konulan teftiş
kurulu yönetmenliğinde düzenlenir” denilmektedir.
Yönetmeliğin 27. maddesinde; “Teftiş, banka içinde tüm maddi hususların,
hesap ve kayıtların, belgelerin, personelin ve banka güvenliğini etkileyebilecek diğer
tüm unsurların yerinde incelenmesinin yanısıra, banka bünyesinin ve faaliyetlerin
özelliğine göre merkezden de inceleme ve denetleme faaliyetlerinde bulunulmasını,
gerektiğinde soruşturma yapılmasını, ifade alınmasını, savunma istenilmesini, belge
ve bilgilere el konulmasını gerekli görülmesi halinde sorumlu personelin inceleme
sonuçlandırılıncaya kadar işten uzaklaştırılması gibi eylemleri de kapsar”
denilmektedir.
127
Teftiş yönetmeliğinde, müfettişlerin görevleri arasında şunlara yer verilir;
( 08.02.2001 tarih ve 24312 sayılı Resmi Gazete).
• Bankanın risk yönetim sisteminin yeterliliğinin ve etkinliğinin bir bütün
olarak incelenmesi ve değerlendirilmesi, risk değerlendirme metodolojilerinin
uygulanmasının ve etkinliğinin incelenmesi, risk tahmini ile bağlantılı olarak banka
özkaynağının değerlendirilmesi sisteminin incelenmesi;
• Banka içindeki görev dağılımı dahil olmak üzere, iç kontrol sisteminin
yeterliliğinin ve etkinliğinin incelenmesi ve değerlendirilmesi çerçevesinde
bankadaki çeşitli operasyonel kontrollerin, elektronik bankacılık hizmetleri dahil
olmak üzere yönetim ve finansal bilgi sistemlerinin yeterliliğinin gözden geçirilmesi
ve bu kontroller ile işlemlerin ve yönetim ve finansal bilgi sistemlerinin etkinliğinin
ve işleyiş usullerinin test edilmesi, personelin tesis edilmiş politikalara ve uygulama
usullerine uyum durumunun incelenmesi;
• Limit ihlalleri, yetki alınmadan alım-satım yapılan işlemleri ve üzerinde
mutabık kalınmayan değerleme işlemleri veya muhasebeleştirme farklılıkları gibi
hususların araştırılması;
• Hesap ve kayıt düzeni ile mali tabloların ve gözetim raporlamalarının
doğruluğunun ve güvenilirliğinin incelenmesi;
• İşlemlerin bankacılık mevzuatına uygunluğunun incelenmesi.
Müfettişlerin sorun ve aksaklıkları uygun yönetim kademesine derhal
bildirmeleri zorunlu tutulur.(29 08.02.2001 tarih ve 24312 sayılı Resmi Gazete).
3.5.2.4. Teftiş Kurulu’nun Organizasyon Yapısı
128
Ele alınan banka organizasyonu içerisinde yer alan Teftiş Kurulu bir başkan,
başkan yardımcıları, müfettiş ve müfettiş yardımcılarından oluşmaktadır. Banka
Teftiş Kurulu Yönetmeliği’ne göre Teftiş Kurulunun amaçları şu şekilde
belirtilmektedir;
• Teftiş Kurulu, bankanın bütün işlemlerinin yasal düzenlemelere, yönetim
kurulu kararı ve banka amirlerine uygun olarak yapılıp yapılmadığını denetleyerek
teftiş ve inceleme raporları hazırlamak,
• Genel müdürlük bölümleri ve şubelerde görevli personelin yasal
düzenlemelere ve direktiflere aykırı işlem yapması veya aykırı uygulama ihtimalinin
bulunması durumunda soruşturma yaparak rapor hazırlamak,
• Uluslar arası kabul görmüş standartlara göre görev alanı içindeki şirket ve
birimlerde “bilgi güvenliği”nin sağlanması amacıyla incelemelerde bulunmak,
• Risklerin önceden tespit edilerek erken uyarı yöntemleriyle önlemlerin
ivedilikle alınmasını sağlamak,
• Bankanın tüm bölümlerinin ve personelinin bankanın karşılaşabileceği
muhtemel riskler konusunda bilgi sahibi olmasını sağlamak.
Yönetim Kurulu tarafından yürürlüğe konulan Teftiş Kurulu Yönetmeliği,
Teftiş Kurulu Başkanlığı’nın, müfettişlerin ve müfettiş yardımcılarının görev, yetki
ve sorumluluklarını, teftiş işlevinin hedeflerini ve kapsamını, teftiş kurulunun banka
içindeki konumunu düzenler.
3.5.2.5. Teftiş Kurulu Üyelerinin Görev ve Sorumlulukları
Teftiş Kurulu başkanı, müfettişlerin, teftiş kurulu yönetmeliğinde belirlenen
ilkeler ve kurallar ile iç denetim standartlarına uyumlarını sağlamaktan sorumludur.
129
Müfettiş yetkilerine de sahip olan başkanın belli başlı görev, yetki ve sorumlulukları
şunlardır;
• Teftişin etkin bir biçimde yürütülmesi amacıyla bankadaki uygulama
esaslarını saptamak ve personelin verimli çalışmasını özendirici bir teftiş sistemi
geliştirmek,
• Bankanın tüm işlemlerinin yasal düzenlemelere ve direktiflere uygunluğunu
incelemek ya da inceletmek,
• Tasarruf sağlayıcı, verim artırıcı, hizmet kalitesini yükseltici önlemleri
belirlemek,
• Riskleri asgari düzeyde tutarak bankanın varlıklarını korumak,
• Kurul üyelerinin çalışmalarını düzenlemek, denetlemek ve çalışma yerlerini
belirlemek.
Bankanın Teftiş Kurulu Yönetmeliği’ne göre Teftiş Kurulu Başkan
Yardımcılarının yetki ve sorumlulukları ise şunları içermektedir;
a) Hazine ve Menkul Teftiş Başkan Yardımcılarının Görev, Yetki Ve
Sorumlulukları;
• Hazine ve operasyon bölümlerinin TL, döviz ve menkul işlemlerinin
uygunluk, verimlilik ve karlılık koşulları dikkate alınarak yönetildiğinin
denetlenmesi,
• Hazine ve menkul risklerinin, politika ve stratejilerinin ve yazılı standartların
izlenmesi,
130
• Pozisyonlara ve fiyatlara ilişkin verilerin ve risk tutarlarının incelenmesi,
b) Krediler Teftiş Başkan Yardımcılarının Görev, Yetki Ve Sorumlulukları;
• Bireysel ve kurumsal krediler işlemlerinin etkin ve verimli bir şekilde
yönetildiğinin izlenmesi, ilgili şube ve genel müdürlük bölümlerinin denetlenmesi,
• Belirlenen kredi limitlerinin sürekli olarak gözden geçirilmesi, karşılaşılan
kredi risklerinin saptanması,
• Kullandırılan kredilerle ilgili olarak ayrılan karşılıkların, mevzuata
uygunluğunun izlenmesi,
• Kullandırılan kredilerin kredi sınırları ile ilgili hükümlere uygunluğunun
kontrol edilmesi.
c) Operasyon Teftişi ve Soruşturma Başkan Yardımcılarının Görev, Yetki Ve
Sorumlulukları;
• Dış işlemler, EFT, swift, idari işler ve satınalma, iletişim ve tanıtım, insan
kaynakları, inşaat-emlak, kasa ve kıymetli evrak, koruma ve emniyet, mevduat,
muhaberat, muhabir bankacılık, mutabakat, repo, sigorta ve takas işlemlerinin
mevcut düzenlemeler çerçevesinde etkin ve verimli bir şekilde yürütülmesinin
denetlenmesi,
• Operasyon risklerine ilişkin gerekli tedbirlerin geliştirilmesi,
• Telefon bankacılığı, internet, ATM, kredi kartları, nakit yönetimi, POS gibi
hizmetlerin etkin ve verimli bir şekilde yürütüldüğünün denetlenmesi.
131
d) Teftiş Yönetmeliği’ne Göre, Müfettişlerin Görevleri Arasında Aşağıdaki
Hususlar Yer Alır;
• İç kontrol sistemin yeterliliğinin ve etkinliğinin incelenmesi amacıyla
bankadaki çeşitli faaliyetlerin sistemlerinin gözden geçirilmesi, personelin
oluşturulan politikalara ve uygulama usullerine uyumunun incelenmesi,
• Limit ihlalleri, yetki alınmadan yapılan işlemleri veya muhasebeleştirme
farlılıkları gibi konuların araştırılması,
• Hesap ve kayıt düzeni ile mali tabloların ve gözetim raporlamalarının doğru
ve güvenilir olup olmadığının incelenmesi,
• İşlemlerin bankacılık mevzuatına uygunluğunun incelenmesi,
• Banka örgütü ve bankanın denetimle yetkili ve görevli olduğu kuruluşlarda
teftiş, inceleme ve soruşturma yapılarak sonuçların raporlanması,
• Hataların ve yolsuzlukların önlenmesi, bulunması, hesap ve kayıt düzeninin
doğruluk ve güvenilirliğinin temin edilmesi.
3.5.3. Banka Risk Yönetim Merkezi
Risk, kurumun hedeflerinin gerçekleşmesini engelleyecek her türlü olay veya
durumlardır. Risk gelecekte oluşabilecek potansiyel problemlere, tehdit ve
tehlikelere işaret eder. Risk Yönetimi ise kurum hedeflerine ulaşılmasını olumsuz
etkileyebilecek her türlü riskin tanımlanması, gerçekleşme olasılığı ve olumsuz
etkilerinin ölçülmesi ve uygun iç kontrol yöntemleriyle azaltılmasını içeren
sistematik bir yönetim biçimidir (Fikirkoca, 2003:25).
132
Bu süreç, risklerin tanımlanması, ölçülmesi, risk politikaları ile uygulama
ilkelerinin oluşturulması, uygulanması, risklerin analizi, izlenmesi, raporlanması,
araştırılması, onayı ve denetimi aşamalarından meydana gelir.
Bankacılık Düzenleme ve Denetleme Kurulu’nun Bankaların İç Denetim ve
Risk Yönetimi Sistemleri Hakkında Yönetmeliğinin 31.maddesinde; risk yönetimi
sistemi ile ilgili olarak şu ifade yer almaktadır;
“Bankalar risk yönetimi sistemi kapsamında, risk politikalarını Kurulca
belirlenen esaslar çerçevesinde oluşturmak, uygulamak ve raporlamak zorundadır.
Risk yönetimi faaliyetleri yönetim kuruluna bağlı olarak çalışacak risk yönetimi
birimi ve personeli tarafından yürütülür.”
Banka risk yönetimi sistemi, idari yönden bağımsız bir şekilde örgütlenir.
Risk tanıma ve değerlendirme işlevi ağırlıklı olarak risk yönetimi sistemi
kapsamında faaliyette bulunan risk yönetimi grubu tarafından yerine
getirilir.Risklerin bankadaki iş akışı içinde etkin bir biçimde tanımlanması, tespit
edilmesi, değerlendirilmesi sürecinde iç kontrolle risk yönetimi grubu elemanlarının
yönetim kurulunca belirlenecek esas ve usullere göre işbirliği içinde hareket etmesi
sağlanır. Gerek duyulması halinde müfettişler başta yasal ve operasyonel riskler
olmak üzere, özellikli alanlardaki riskleri de değerlendirirler.
Banka organizasyonunda üst düzey risk komitesi, bankanın konsolide ve
konsolide olmayan bazda izleyeceği risk yönetimi stratejilerinin, politikalarının
hazırlanmasından, yönetim kurulunun onayına sunulması ile uygulamaların
izlenmesinden sorumludur. Üst düzey risk komitesi, yönetim kurulunun iç denetim
sisteminin devam ettirilmesi ile görevli üyesinin başkanlığında, aktif-pasif yönetimi
komitesi başkanından, kredi komitesi başkanından ve konsolidasyon kapsamındaki
kuruluşların üst düzey risk komitelerinin ya da benzeri organlarının başkanlarından
oluşur.
133
Risklerin tanınmasında, değerlendirilmesinde, bankanın ve kontrol ettiği
iştiraklerin oluşturduğu grubun karşı karşıya olduğu tüm riskler konsolide bazda
dikkate alınır. İç kontrol süreci, bankanın kontrol ettiği konsolidasyon kapsamındaki
tüm kuruluşları ve bunların karşılaştıkları riskleri kapsar.
Banka işletmelerinin karşı karşıya kaldığı risk türleri olan kredi riski, işlemin
sonuçlandırılmaması riski, işlemin sonuçlandırılması öncesi oluşan risk, ülke riski,
transfer riski, likidite riski, piyasaya ilişkin likidite riski, fonlamaya ilişkin likidite
riski, piyasa riski, operasyonel risk, mevzuata ilişin yetersiz bilgi riski, itibar riski
düzenlemelere uyulmama riski gibi riskler bankanın risk yönetim merkezi tarafından
banka üst düzey yönetimi ile birlikte belirlenir.
3.6. TÜRK BANKACILIK SEKTÖRÜNÜN İÇ DENETİME GEÇİŞ
AŞAMASINDA YENİDEN YAPILANDIRILMASI
Gerek ülkemizde, gerekse dünya bankacılık sisteminde yaşanan sorunların ve
krizlerin, büyük ölçüde, makro ekonomik denge bozukluklarının yanı sıra, finansal
piyasalarda yaşanan ahlaki zafiyet biçiminden, sistemin yapısındaki zayıflıktan ve
düzenleme kurumlarının yetersizliğinden kaynaklandığı gözlenmiştir. Aslında
bankacılık sektöründe reformun gerekli olduğunun ve önceden tespit edilmesi ve
finansal piyasaların durgun olduğu dönemlerde bu reformların gerçekleştirilmesi
gerekmektedir. Ancak uygulamaya bakıldığında önemli reform kararlarının
genellikle krizden sonra alındığı dikkati çekmektedir.
Başarılı bankacılık reformlarında sorunların en kısa sürede belirlenip,
stratejilerin hemen uygulamaya konulması gerekmektedir. Bankaların ödeyememe
sorununun bir an önce çözülerek, kredi verme faaliyeti sürdürülebilir kılınmalıdır.
Reform sürecinde alınması gereken temel önlemler; bankaların sermaye yeterlilik
oranlarının güçlendirilmesi, aktiflerin kalitesinin düzeltilmesi ve yükümlülüklerinin
azaltılmasıdır.
134
Bankacılık sistemini yeniden yapılandırma aşamasında merkez bankasının
reformdaki rolünün açıkça tanımlanması gerekmektedir. Aslında merkez bankasının
reformları sürdürmesi, asli fonksiyonu olan para politikası yönetimini
aksatacağından, reformların ayrı bir bağımsız kurum tarafından yürütülmesi daha
uygundur. Ancak, ayrı bir düzenleme ve denetleme otoritesi reformları yürütse de
merkez bankası likidite desteği sağlamaya hazır olmalıdır.
Bu genel çerçeve doğrultusunda, Türkiye’deki krizler dikkate alındığında
Merkez Bankasının son başvuru mercii olma işlevini yerine getirmede çelişkiler
yaşadığı gözlenmektedir. Kasım 2000 krizinde IMF’den alınan kredi nedeniyle
uygulanan para ve döviz kuru sisteminden sapılmazken Şubat 2001 krizinde sistem
devam ettirilmemiş ve dalgalı döviz kuru sistemine geçilmiştir.
Bu dönemde BDDK;
• Kamu bankalarının yeniden yapılandırılması,
• TMSF’ye devredilen bankaların yeniden yapılandırılması, özel kesime devri
ve kapatılması,
• Özel bankaların finansal yapılarının güçlendirilmesi
olarak bankacılık sistemini yeniden yapılandırma programını açıklamıştır.
3 Temmuz 2001 tarih ve 24451 sayılı Resmi Gazetede yayımlanarak
yürürlüğe giren 4684 sayılı Kanun ile kamu bankalarının en önemli sorunu olan
görev zararlarına ilişkin yasal dayanak ortadan kalkmış ve yeni görev zararlarının
oluşması engellenmiştir.
Kamu bankalarının yasal sermaye yeterlilik rasyolarını tutturabilmeleri ve
sermaye yapılarını güçlendirebilme amacı ile nakit sermaye ödemesi
yapılmıştır.Daha önce de aracı kurumlara yönelik sermaye yeterliliği tabanı
belirlenmiştir.
135
Yeniden yapılandırma programı çerçevesinde, kamu bankalarının mevduat
faiz oranlarına ait üst sınır getirilmiş ve DİBS faiz oranlarının altında ve ortak olarak
belirlenmesi kabul edilmiştir. Ayrıca bir yandan Emlak Bankasının bankacılık yapma
ve mevduat toplama izni kaldırılarak Ziraat Bankası bünyesine alınırken, diğer
yandan kamu bankalarının şube sayılarının azaltılması ve personel sayısının
sınırlandırılması amacıyla emekliliğin teşviki gündeme getirilmiştir.
Öte yandan 1983 yılında oluşturularak Merkez Bankası bünyesinde faaliyete
başlayan TMSF, 31 Ağustos 2000 tarihinde BDDK’ya devredilmiştir. 1997 yılından
2002 tarihine kadar TMSF’ye devredilen 19 bankanın toplam aktif büyüklüklerinin,
Türk bankacılık sisteminin %15’ine yaklaştığı gözlenmiştir. Bu bankalara kamu
kağıtları verilerek özkaynakları güçlendirilmiş, gecelik borçlanma gereksinimleri
azaltılmış, Merkez Bankası dışındaki yükümlülükleri sıfırlanmış, şube ve personel
sayısında azaltılmaya gidilmiştir.
Bilindiği gibi, Türk Bankacılık Sistemini yeniden yapılandırma programı
çerçevesinde BDDK’nın yürüttüğü faaliyetler içerisinde özel bankacılık sektörünün
güçlendirilmesi de yer almaktadır. Özel bankaların mali durumlarını
güçlendirebilmeleri amacıyla;
• Sermaye temini,
• Sermaye benzeri kredi temini,
• Birleşmeler,
• Şube ve personel sayısının makul düzeyde olması,
• Maliyetlerin düşürülmesi,
• Yoğunlaşmış kredilerin yeniden yapılandırılması,
• İştirak ve gayrimenkul satışı
• Hisselerin bir kısmı ya da tamamının yabancı ve yerli ortaklara satılması,
koonularında kendilerinden taahhüt mektupları alınmıştır.
BDDK’nın bankacılık sektörünü yeniden yapılandırma faaliyetlerine genel
136
olarak bakıldığında, kamu bankalarına ilişkin zararların karşılanması, sermayelerinin
güçlendirilmesi ve yönetimin iyileştirilmesi hususunda önemli başarılar sağlandığı
gözlenmiştir. TMSF’ye devredilen bankaların zararlarının ve açık pozisyonlarının
büyük ölçüde azaltıldığı, özel bankaların ise kendi iç risk yönetimi sistemlerini
kurmaları ve operasyonel yönetimlerinin etkinleştirmeleri için teşvik edildikleri
dikkati çekmektedir. Ayrıca, gerek sistemin yapılandırılmasında, gerekse uluslar
arası standartlara ulaşılmasında gerekli yasal alt yapı açısından önemli aşamalar
kaydedilmiştir.
3.7. TÜRK BANKACILIK SEKTÖRÜNDE ETKİN BİR İÇ DENETİM VE
RİSK YÖNETİM SİSTEMİ UYGULAMASINDA KARŞILAŞILAN
SORUNLAR
Bir ekonomide mali sistem, mali aracılar, mali araçlar ve mali piyasalardan
oluşur. Mali sistemin temel unsurlarından biri de bankacılık sektörüdür. Bankacılık
sektörü, mali sistem içerisinde üzerinde kurulu olduğu ödemeler sistemi aracılığı ile
tasarrufların dönüştürülmesinde kaynak aktarımına aracılık eden bir sektördür.
Finans sisteminin banka ağırlıklı bir yapıya bürünmesi ve finansman
gereksinimin büyük ölçüde bankalar tarafından karşılanması gereğinin ortaya
çıkması, mali sistemin işlevlerini tam olarak yerine getirmesini engellemiş ve
bankacılık sisteminde sağlıksız bir yapılaşmaya neden olmuştur. Bu yapılaşma
bankaların risk alanlarının daralmasını ve sermaye yapılarının güçlendirilmesini
olumsuz yönde etkilemiştir.
Türk bankacılık sektörü, bugün gerek mali, gerekse kurumsal yapıları
itibariyle göz ardı edilemeyecek bir düzeye yükselmiş bulunmaktadır. Bu olumlu
gelişmelere rağmen, Türk bankacılık sektörünün gelişimini etkileyen bazı
olumsuzluklarında mevcut olduğu bilinen bir gerçektir. Bankalar yaptıkları işin
gereği yoğun risklerle yaşamak zorunda kalan kuruluşlardır. Bankacılık sektöründe
yaşanan riskler, her ülkede, her dönemde kaçınılmaz olarak yaşanabilir. Çünkü,
137
finansal piyasalar var olduğu sürece, risk unsuru sistem içerisinde varlığını
sürdürecektir. Ancak, bu aşamada önemli olan risklerin doğru tanımlanıp,
yönetilmesidir. Banka üst yönetimleri, kurumsal olarak alınan riskler hakkında daha
fazla bilgi edinmeli ve risk yönetimi için gerekli sistemlere sahip olmalıdırlar.
Böylece piyasada oluşacak risklerin zararları, bankacılık sektörünü en alt düzeyde
etkileyecek ve oluşacak krizlerin zararları minimuma indirilecektir (Yıldırım, 2004:
1).
1980'li yıllardan bugünlere değin bankacılık sektörünün başlıca sorunları,
ekonomik gelişmedeki istikrarsızlık, yüksek kaynak maliyeti, haksız rekabet
koşulları, hızlı teknolojik gelişme ve hizmet teknikleri karşısında mevzuatın yetersiz
kalması gibi hususlardan kaynaklanmaktadır. Bankacılık sektöründe yaşanan bu
sorunlar bankalarda etkin bir iç denetim ve risk yönetim sistemini gerekli
kılmaktadır.
138
DÖRDÜNCÜ BÖLÜM
4. BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİ
VE DENETİMİ
4.1. BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİ FAALİYETİNİN
TEMEL AMACI VE KAPSAMI
Bilgi sistemleri, bankacılık faaliyetlerinin değişmez ve önemli bir parçası
haline gelmiş olduğundan, banka, bilgi sistemlerinin yönetimini kurumsal
yönetim uygulamalarının bir parçası olarak ele alır. Bankanın operasyonlarını
istikrarlı, rekabetçi ve gelişen bir çizgide sürdürebilmesi bakımından bilgi
sistemleri yönetsel hiyerarşi içerisinde uygun yere yerleştirilir ve doğru yönetimi
için gerekli finansman ve insan kaynağı tahsis edilir.
Banka, bilgi sistemlerinin yönetimine ilişkin detaylı prosedürler ve süreçler
tesis eder. Prosedürler ve süreçler ilgili iş alanında gerçekleşen değişiklikler veya
teknolojik gelişmeler doğrultusunda gerekiyorsa yenilenmek üzere düzenli olarak
gözden geçirilir.
Bilgi sistemleri üzerinde etkin bir yönetimin tesis edilmesi; risk yönetimi, iç
kontrol sistemi ve iç denetim kapsamında yürütülecek çalışmalar ile gerçekleştirilir.
139
TABLO -5 :Sektörel Bilgi Teknolojileri Harcamaları
TABLO - 6 : Türkiye’de Bankaların Bilgi Teknolojileri Harcamaları
T
ürk
bankacılık sektöründe de bilgi sistemlerinin önemi grafikten de görüldüğü gibi
Süreç Üretimleri
7%Perakende Satış
6%
Servisler
8%
Finansal Servisler
21% İletişim
14%
Ara İmalat
11%
Ulusal ve Uluslar arası
Yönetimler; 9%
Eğitim
2%
Toptan Ticaret; 3%
Taşımacılık; 4%
Sağlık; 3%
Tarım, Madencilik
ve İnşaat; 1%
Kamu Hizmet Kuruluşları; 5%
Yerel ve Bölgesel Yönetimler; 6%
1.4281.301
1.493
1.726
1.9522.065 2.033
1.000
1.200
1.400
1.600
1.800
2.000
2.200
2003 2004 2005 2006 2007 2008 2009 Yıllar
Mily
on
$
140
oldukça fazla sayılabilir. Önemi tartışılmayacak kadar açık olan bilgi sistemleri, doğru
biçimde tesis edilip kullanılmadığında veya bilinçli bir şekilde yanlış kullanıldığında
ciddi zararlar doğurabilen operasyonel risk ve itibar riskleri yaratabilmektedir.
4.1.1.Bilgi Sistemleri Risk Yönetimi
Banka, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından
kaynaklanan riskleri tanımlar, analiz eder, izler ve yönetmek üzere gerekli önlemleri
alır. Bilgi sistemlerine ilişkin risklerin yönetilmesi, kurumsal bilgi sistemleri
yönetiminin önemli bir bileşeni olarak ele alınır. Bilgi teknolojilerinin bankacılık
faaliyetlerinde kullanılması nedeniyle oluşan risklerin temel kaynağı olarak kabul
edilebilecek unsurlardan aşağıda sıralananlar banka tarafından göz önünde
bulundurulur, risk yönetiminde değerlendirmeye katılır:
• Bilgi sistemlerinin hızlı gelişiminin yarattığı baskı,
• Bilgi sistemlerinin alışılanlardan farklı hatalara ve dolandırıcılıklara
zemin hazırlayabilmesi,
• Bilgi sistemlerinin bankacılık faaliyetlerinde kullanımının artmasına bağlı
olarak yaygınlaşan destek hizmeti alımı, buna bağlı olarak
operasyonlarda destek hizmeti kuruluşlarına bağımlılığın doğmuş
olması,
• Bankanın iş sürekliliğinin önemli oranda bilgi sistemlerinin işlerliğine
bağlı duruma gelmesi,
• Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin ve tutulan,
aktarılan ve işlenen verilerin güvenliğinin sağlanmasının, müşteri
tanımanın, inkâr edilemezliğin ve işlem izlerine ilişkin kayıtların
tutulmasının zorlaşmış olması.
Banka, risk yönetim politika ve süreçlerini, bilgi teknolojilerinin
kullanımına bağlı olarak gözden geçirip, buradan kaynaklanacak risklerin
yönetimini kapsayacak şekilde yeniler. Bilgi teknolojilerinden kaynaklanan
141
riskler geleneksel bankacılık risk kategorileri arasına yeni bir risk kategorisi
eklemiyor olmakla birlikte bu geleneksel risklerden bazılarının artmasına
veya değişmesine sebep olduğundan, bilgi teknolojilerinden kaynaklanan
riskleri de içeren bütünleşik bir risk yönetim yaklaşımı tüm bankacılık faaliyetleri
için benimsenir, bilgi teknolojilerinin takibi ve gözetimine ilişkin çalışmalardan
edinilen verilerin bankanın bütünsel risk yönetim çerçevesinin bir parçası haline
gelmesi sağlanır.
Banka, belirlenecek dönemlerde veya bilgi sistemlerinde meydana
gelecek önemli değişikliklerden önce bilgi sistemlerine ilişkin risk analizlerini
tekrarlar ve risk analizlerinin ne şekilde gerçekleştirileceğine ilişkin yazılı süreçler
hazırlar.
Bilgi sistemlerine ilişkin risklerin yönetimi amacıyla geliştirilen politika
ve prosedürlerin gerekleri, bankanın organizasyonel ve yönetsel prosedürleri
içerisinde fiili olarak işleyecek şekilde yerleştirilir, bunların işlerliğine ilişkin
gözetim ve takip gerçekleştirilir.
Risk yönetimine ilişkin politika ve süreçlerin bilgi teknolojisi
kullanımından kaynaklanan riskleri de kapsayacak şekilde düzenlenmesi
çalışmalarında, 6 ila 19 uncu maddelerde yer alan, bilgi sistemlerinin özel
niteliklerinden kaynaklanan anahtar risk yönetim prensipleri göz önünde
bulundurulur. Söz konusu prensipler, üst yönetim gözetimi, güvenlik kontrolleri
ile yasal ve itibar riski yönetimi başlıkları kapsamında yapılması gerekenleri
ifade etmektedir. Bankanın, kendi risk profiline, operasyonel yapısına, kurumsal
yönetim kültürüne ve ilgili diğer mevzuat ile çizilen çerçeveye uygun olarak risk
yönetim süreçlerini geliştirmesi ve bilgi teknolojilerinden gelen riskleri de bu
kapsamda değerlendirmeye alması esastır.
142
4.1.1.1. Yönetim Gözetimi
Banka üst yönetimi bilgi sistemleri kullanımından kaynaklanan risklerin
yönetilmesi için etkin bir yönetim gözetimi yürütür. Bu amaçla
değerlendirmeden geçirilmiş ve uygunluğu konusunda onay verilmiş, bilgi
sistemlerinin kullanımından kaynaklanan risklerin yönetilmesine yönelik, kapsamlı
bir süreç hazırlanır. Bu süreç sorumlulukların açıkça tanımlanması ile risklerin
yönetilmesine ilişkin politikaların oluşturulması ve kontrollerin tesis edilmesi ve
izlenmesi faaliyetlerini kapsar. Bilgi sistemleri üzerinde etkili iç kontrollerin tesis
edilmesi bu kapsamdaki öncelikli konuyu teşkil eder. Banka risk profili ve stratejisi
üzerinde önemli etkileri olacak yeni bilgi sistemi unsurlarının kullanıma alınmasına
ilişkin projeler banka yönetim kurulu tarafından gözden geçirilir. Yönetim kurulu,
bilgi sistemleri unsurlarına ilişkin yeni projenin getireceği riskleri yönetmek için
gerekli uzmanlık düzeyinin banka bünyesinde bulunduğundan emin olmadan,
çalışmalara onay vermez. Üst düzey yönetim ve personel uzmanlığının, projeye
ilişkin uygulamaların ve bunu destekleyen alt yapının gerektirdiği teknik detay ve
karmaşıklık ile orantılı olması esastır.
Banka üst yönetimi, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun
düzeye getirilmesi hususunda gerekli kararlılığı gösterir ve bu amaçla
yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis eder. Üst yönetim,
aşağıdaki faaliyetlerin yerine getirilmesini temin edecek mekanizmaları kurar:
• Bilgi güvenliği politikalarının ve tüm sorumlulukların belirli
periyotlarla gözden geçirilmesi ve onay mekanizmasına tabi tutulması,
• Bilgi kaynaklarına yönelik tehditlerin periyodik olarak
değerlendirilmesi,
• Bilgi güvenliği ihlaline ilişkin olayların izlenmesi ve
periyodik olarak değerlendirilmesi,
• Bilgi güvenliği hususunda farkındalığı arttıracak çalışmaların
desteklenmesi.
143
Bankanın bilgi güvenliği politikası, yönetim kurulunun onayından geçmeli ve
tatbiki üst yönetim tarafından gözetilmelidir.
4.1.1.2. Güvenlik Kontrol Sürecinin Tesis Edilmesi Ve Yönetilmesi
Banka üst yönetimi, bilgi güvenliği politikası kapsamında, bilgi sistemlerinden
kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için,
güvenlik kontrol sürecini değerlendirmeye tabi tutar ve uygunluğunu onaylar. Banka
üst yönetimi, bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak ve
yedek olarak saklanmak üzere bulunan verilerin gizlilik, bütünlük ve
ulaşılabilirliklerini sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi
ve düzenli olarak güncellenmesi çalışmalarını gözetimi altında tutar.
Güvenlik kontrol süreci ve bilgi güvenliği politikası vasıtasıyla
sorumluluklar açıkça tanımlanmış şekilde kişilere atanır. Bu kapsamda güvenlik
kontrol süreçlerinin oluşturulması, sürdürülmesi ve yönetilmesine ilişkin açık
yönetsel sorumluluklar belirlenir.
Bilgi güvenliğinin tesisi amacıyla uygulanacak kontroller asgari olarak aşağıdaki
unsurları içerir;
• Bilgi sistemleri ve içerdiği verilerin güvenliği konusunda gerekli kontrollerin
ve yapıların oluşturulması çalışmaları kapsamında; risk değerlemesi
yapılması, bilgi güvenliği politikası oluşturulması ve uygulanması,
bilgi güvenliği testlerinin uygulanması, işlemlerin takip edilip
raporlanması ve kontrollerin ve oluşturulan yapıların teknolojik gelişmelere
göre güncellenmesi faaliyetlerini içeren bir yöntem geliştirilir.
• Banka personeline güvenlik konusunda farkındalık eğitimleri verilir,
bankanın güvenlik politikası kendilerine aktarılır, uyum konusunda yazılı
taahhüt alınır.
• Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, iletilen, depolanan ve
144
yedek olarak tutulan veriler güvenlik hassasiyet derecelerine göre
sınıflanır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir.
• Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak
incelenmesini sağlayacak süreçler tesis edilir. Güvenlik alanındaki güncel
gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır,
gerekli yamalar uygulanır.
• Banka, kendi kurumsal ağı dışındaki ağlarla iletişim halinde olduğu
durumlarda, söz konusu dış ağlardan gelebilecek tehditler de banka için
ciddi bir risk unsuru olup bankaların bu riski minimize edecek ağ kontrol
güvenlik sistemlerine sahip olmaları gerekir.
• Banka, dış ağdan iç ağına yapılacak erişimleri kontrol altında tutmak,
aynca, iç ağının farklı güvenlik hassasiyetine sahip alt bölümlerini
birbirinden ayırarak kontrollü geçişi temin etmek üzere, gerektiği şekilde
konfigürasyonu yapılmış ve sürekli gözetim altında tutulan bir veya birden
fazla güvenlik duvarını kullanır.
• Bilgi sistemleri yöneticisinden ayrın olarak yeterli teknik bilgi ve tecrübeye
sahip bir bilgi sistemleri güvenliği personeli atanır.
4.1.1.3. Destek Hizmeti Alımı Sürecinin Yönetimi
Banka üst yönetimi, bilgi sistemleri kapsamında alınacak destek hizmetlerine
ilişkin olarak, söz konusu hizmetin destek hizmeti alımı yoluyla
gerçekleştirilmesinin banka açısından doğuracağı risklerin yeterli düzeyde
değerlendirilmesi, yönetilmesi ve destek hizmeti kuruluşu ile ilişkilerin etkin bir
şekilde yürütülebilmesine olanak sağlayacak yeterli bir gözetim mekanizması tesis
eder. Tesis edilecek gözetim mekanizması ile asgari olarak;
• Bilgi sistemleri alt yapısına ilişkin destek hizmeti alımının doğuracağı
risklerin tüm yönleriyle değerlendirilmesi,
• Destek hizmeti kuruluşunun seçiminde gerekli özenin gösterilmesi,
145
• Destek hizmeti alımı kapsamındaki tüm sistem ve süreçlerin bankanın
kendi risk yönetimi, güvenlik ve müşteri mahremiyeti politikalarına
uygun olması,
• Destek hizmeti kapsamında banka verilerinin destek hizmeti
kuruluşuna aktarılmasının gerekli olduğu durumlarda, destek
hizmeti kuruluşunun güvenlik konusundaki prensip ve
uygulamalarının en az bankanın uyguladıkları düzeyde olması,
• Destek hizmeti alımı kapsamındaki faaliyetlerin banka
bünyesinde gerçekleştirilmesi durumunda hangi denetimlere tabi
tutulması öngörülüyorsa, bu faaliyetlerin destek hizmeti alımı
yoluyla gerçekleştirilmesi durumunda da herhangi bir kapsam
daraltılmasına gidilmeden aynı periyodik denetime tabi tutulması,
faaliyetin destek hizmeti alımı yoluyla gerçekleştirilmesi nedeniyle ek
denetim ihtiyacı duyuluyorsa bunların da gerçekleştirilmesi,
Destek hizmeti alımına ilişkin hususların banka iş süreklilik planı göz
önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması, destek hizmeti
kuruluşunun bu kapsamdaki yükümlülüklerinin sözleşme ile netleştirilmesi, temin
edilir.
Destek hizmeti alımına ilişkin koşul, kapsam ve her türlü diğer tanımlama,
ilgili destek hizmeti kuruluşunca da imzalanmış olacak şekilde sözleşmeye bağlanır.
Sözleşme, asgari olarak aşağıdaki hususları içerir;
• Hizmet seviyelerine ilişkin tanımlamalar,
• Hizmetin sonlanma koşulları,
• Bankaya ait iş süreklilik planının sekteye uğramasını engelleyecek
şekilde destek hizmeti kuruluşunun alması gereken önlemlere ilişkin
hükümler,
• Bankanın güvenlik politikası dâhilinde hassasiyet arz eden konulara
ilişkin gereklilikler,
146
• Sözleşme kapsamında üretilecek olan ürünün sahipliğini, fikri mülkiyet
haklarını da göz önünde bulundurarak düzenleyen hükümler,
• Sözleşmede destek hizmeti kuruluşları için yükümlülük teşkil eden
hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde de
bağlayıcı maddeler olarak yer almasını sağlayacak hükümler,
• Destek hizmeti alımının, planlanın dışında sonlanmasından
kaynaklanacak risklerin yönetilmesine ilişkin hükümler,
Bankanın tabi olduğu mevzuat hükümlerinin alınan hizmet çerçevesinde
destek hizmeti kuruluşları için de uygulanmasını sağlayacak hükümler anka, güvenlik
politikasının tanımladığı ilkeler doğrultusunda, destek hizmeti
alımından kaynaklanan riskleri kontrol altında tutmak üzere gerekli
organizasyonel değişiklikleri yapar, idari prosedürler tanımlar ve bu kapsamda
alınacak önlemleri ilgili tüm diğer bölümlerin günlük işlemlerine ve sistemlerine
entegre eder, alınan destek hizmetine ilişkin olarak, destek hizmeti kuruluşuyla
ilişkileri yürütecek, yeterli bilgi ve tecrübeye sahip bir sorumlu atar.
Destek hizmeti kuruluşlarına verilen erişim hakkı tipleri özel
olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu erişimler için risk
değerlendirmesi yapılır; buna göre, eğer gerekiyorsa ek kontroller tesis edilir.
Risk değerlendirmesi yapılıyorken ihtiyaç duyulan erişim tipi, erişilen verinin
değeri, destek hizmeti kuruluşu tarafından yürütülmekte olan kontroller ve bu
erişimin banka bilgilerinin güvenliği üzerindeki etkileri dikkate alınır.
Destek hizmeti alımının, planlanın dışında sonlanması durumlarına
ilişkin risklerin yönetilmesine uygun bir çıkış stratejisi belirlenir.
Banka üst yönetimi, destek hizmeti alımı yoluyla gerçekleştirilen servisler
için; servisin erişilebilirliğini, performansını, kalitesini, bu servis kapsamında
gerçekleşen güvenlik ihlali olayları ile destek hizmeti kuruluşunun güvenlik
kontrollerini, finansal koşullarını ve sözleşmeye uygunluğunu yakından takip eder.
147
Destek hizmeti alınan konularda banka yönetim kurulunun sorumluluğu
ortadan kalkmaz. Üst yönetim, bankanın tabi olduğu mevzuat hükümlerinin alınan
hizmet çerçevesinde destek hizmeti kuruluşları için de uygulanmasını sağlar ve
gözetir.
Bu maddede yer alan hükümler, 01/11/2006 tarih ve 26333 sayılı Resmi
Gazete'de yayımlanan Bankaların Destek Hizmeti Almalarına ve Bu Hizmeti
Verecek Kuruluşların Yetkilendirilmesine İlişkin Yönetmelik'te yer alan hükümlere
ilave olacak şekilde değerlendirilir.
4.1.1.4. Kimlik Doğrulama
Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik
doğrulama mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin
kullanılacağına, üst düzey yönetim tarafından yapılacak risk değerlendirmesi
sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden
gerçekleştirilmesi planlanan işlemlerin içeriği, işleme konu verinin hassaslık derecesi
ve tekniğin kullanım kolaylığı göz önünde bulundurularak gerçekleştirilir.
Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin
bilgi sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden
ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik
doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek
gerekli önlemler alınır.
Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin
tutulduğu veritabanlarının güvenliğini sağlamaya yönelik gerekli önlemler
alınır. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin
veritabanlarında şifreli olarak muhafaza edilmesi, yapılacak her türlü
kontrolsüz değişikliği algılayacak sistemlerin kurulması, yeterli denetim
148
izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını
içerir. Ayrıca bu veriler kimlik doğrulama amacıyla aktarılırken şifrelenir ve
verilerin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır.
4.1.1.5. İnkâr Edilemezlik Ve Sorumluluk Atama
Banka, bilgi sistemleri üzerinden gerçekleşen işlemler için, inkâr edilemezlik
ve sorumluluk atama imkânlarını içeren teknikler kullanır.
4.1.1.6. Görevler Ayrılığı Prensibi
Bilgi sistemlerine ilişkin sistem, veritabanı ve uygulamaların geliştirilmesinde,
test edilmesinde ve işletilmesinde görevler ve sorumluluklar ayrılığı prensibi
uygulanır. Bilgi sistemleri ortamında gerçekleşen işlemlerde kimlik gizleme ve
sahtekârlığın alışılmış yöntemlerden farklı şekillerde yapılabileceği ve işlemlerin
bütünleşik olarak, müdahaleye ve takibe kolay imkân vermeyecek şekilde
gerçekleşebileceği hususları göz önünde bulundurularak görevler ve
sorumluluklar ayrılığı yapısı değerlendirilir ve revize edilir. Süreçler ve sistemler,
kritik bir işlemin tek bir personel veya destek hizmeti kuruluşu tarafından girilmesi,
yetkilendirilmesi ve tamamlanmasına imkân vermeyecek şekilde tasarlanır.
Etkin bir görevler ayılığı ortamının tesis edilebilmesi için banka verileri
üzerinde etkileri olabilecek süreçleri yürütecek personele, kendilerine atanan görevler
göz önünde bulundurularak, sadece bu görevleri yerine getirmelerine yetecek kadar
yetkinin verilmesi temin edilir.
Görevlerin tam manasıyla ve uygun şekilde ayrıştırılmasının mümkün
olmadığı durumlarda, bu durumdan kaynaklanabilecek hata ve suiistimalleri
önlemeye yönelik risk azaltıcı veya telafi edici kontroller tesis edilir.
149
Bilgi sistemlerine ilişkin fonksiyonların gerçekleştirilmesinde görevler
ayrılığı ilkesinin gereklerini sağlamak için tesis edilen kontrollerin aşılabilirliğini
tespit etmek üzere testler yapılır.
Banka, görevlerin mahiyetinin ve banka organizasyon yapısının elverdiği
ölçüde personeli üzerinde görev rotasyonu uygular.
4.1.1.7. Yetkilendirme
Banka, bilgi sistemlerine ilişkin veritabanlarına, uygulamalara ve sistemlere
erişim için uygun bir yetkilendirme ve erişim kontrolü tesis eder. Bu çerçevede bilgi
sistemlerinde gerçekleşen faaliyetlere müdahil kullanıcı, taraf ve sistemlere dikkatle
belirlenmiş yetkilendirme düzeyi ve erişim hakkı atanır. Yetkilendirme düzeyi ve
erişim haklarının atanmasında ilgili unsurun görev ve sorumlulukları göz
önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı
erişim hakkının verilmesi yaklaşımı esas alınır. Böylelikle sistemlere, servislere ve
verilere sadece gerekli yetkiye sahip kullanıcı, taraf ve sistemlerin erişimi mümkün
kılınır. Atanacak yetkiler görevler ayılığı prensibinin tanımladığı ilkeler ile tutarlı
olmalıdır.
Yetkilendirme ve erişim hakkı tahsisi mekanizması, hiçbir kullanıcı, taraf ya
da sistemin kendi yetkilendirme düzeyini ve erişim haklarını değiştirmesine izin
vermeyecek şekilde tesis edilir.
Bilgi sistemleri ortamındaki tüm faaliyetlerin güncel ve geçerli bir
yetkilendirme veritabanı üzerinden gerçekleştirilmesi temin edilir. Tüm kullanıcı,
taraf ve sistemlere atanmış olan yetkiler ve erişim hakları periyodik olarak güncel
durumla uyumlulukları açısından değerlendirilmeye tabi tutulur.
Bilgi sistemleri kapsamındaki faaliyetlere ilişkin yetkilendirme
veritabanında gerçekleştirilecek her türlü değişiklik, ekleme ve silmenin, kimlik
150
doğrulaması uygun tekniklerle gerçekleştirilmiş, yetkili kullanıcılar tarafından
yapılması sağlanır. Bu kapsamdaki her türlü işlem için yeterli denetim izi
tutulur ve düzenli olarak gözden geçirilir. Yetkilendirme veritabanının güvenliği
sağlanır, yapılacak her türlü kontrolsüz değişikliği algılayacak mekanizmalar
kurulur. Yetkilendirme veritabanına yetkisiz erişim teşebbüsleri kayıt altına alınır ve
düzenli olarak gözden geçirilir.
Bilgi sistemleri kapsamındaki faaliyetlere ilişkin yetkilendirme
veritabanında kontrolsüz değişikliğin olması veya veritabanının güvenilirliğini
yitirmesi durumunda, veritabanı güncel ve güvenilir duruma getirilene kadar
kullanılmaz, güvenilir olmayan veritabanı üzerinden yetkilendirme ve erişim hakkı
tahsisi işlemleri gerçekleştirilmez.
Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim
izleri tutulur ve periyodik olarak gözden geçirilir.
Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce
kullanımının önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir.
Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici
olarak gerçekleştirilen yetkilendirmelerde, bu yetkilendirme sürecinde
gerçekleştirilecek işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı
denetim izlerinin tutulması sağlanır.
Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal
erişimleri engelleyecek kontroller ve gözetim süreçleri tesis edilir.
4.1.1.8. İşlemlerin, Kayıtların Ve Verilerin Bütünlüğü
Banka, bilgi sistemleri üzerinden gerçekleşen işlemlerin, kayıtların ve
verilerin bütünlüğünün sağlanmasına yönelik gerekli tedbirleri alarak bunların
151
doğruluğunu, tamlığını ve güvenilirliğini temin eder. Bütünlüğü sağlamaya
yönelik tedbirler verinin iletimi, işlenmesi ve saklanması aşamalarının tamamını
kapsayacak şekilde tesis edilir. Destek hizmeti kuruluşları nezdinde gerçekleşen
işlemler için de aynı yaklaşım gösterilir.
Bilgi sistemlerine ilişkin işlemlerin doğruluğu ve güvenilirliği asgari
olarak, yapılmak istenen işleme ait anahtar öneme sahip bilgilerin işlemin
başlangıcından tamamlanışına kadar doğruluğunu yitirmemesini ve yapılmak
istenen işlemin kendinden beklenen sonucu yerine getirmesini; tamlığı ise asgari
olarak bütün işlemlerin hata üretmeden gerçekleşmesini ve mükerrer olamamasını
gerektirir.
Banka, bilgi sistemlerine ilişkin işlemlerde ve kayıtlarda meydana
gelebilecek olası bozulmaları saptayacak teknikleri kullanır.
4.1.1.9. Denetim İzlerinin Oluşturulması
Bilgi sistemleri üzerindeki; riskler, sistemlerin boyutu ve faaliyetlerin
karmaşıklığı göz önünde bulundurularak bilgi sistemlerinin kullanımına ilişkin
etkin bir denetim izi kayıt mekanizması tesis edilir. Bu sayede, bilgi sistemleri
dâhilinde gerçekleşen erişim ve işlemlere ilişkin denetim izlerinin yeterli detayda
ve açıklıkta tutulması temin edilir. Denetim izlerinin bütünlüğünün bozulmasının
önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için
gerekli teknikler kullanılır. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı
müdahalesine karşı korunmasına yönelik önlemler alınır. Denetim izleri asgari olarak;
• Erişim talebinin hangi uygulama üzerinden geldiği, yeri ve zamanı,
• Erişim talebinde bulunan kişinin kimliği,
• Yapılan işlemlerin zamanı ve içeriği,
• Erişimin başarılı ya da başarısız olması durumu bilgilerini içerir.
152
Denetim izleri sorgular için asgari 1 yıl, işlemler için asgari 3 yıl boyunca
banka nezdinde saklanır. Denetim izlerinin, yeterli güvenlik düzeyine sahip
medyalarda korunması ve yedeklerinin alınması suretiyle, yaşanacak olası
felaketler sonrasında da öngörülen süre için erişilebilir olmaları temin edilir.
Banka, müşterilerini ve personelini, aktivitelerinin kaydının
tutulduğu hususunda haberdar eder.
Banka, kayıt sisteminin düzenli olarak gözden geçirilmesine ve kayıtların
değerlendirilmesine, olağanüstü durumların üst yönetime raporlanmasına ilişkin
süreçleri tesis eder.
Denetim izlerinin tutulması, mevzuatın diğer hükümleri gereği
bankanın belgeleri saklamasına ilişkin yükümlülüklerini değiştirmez.
Bilgi sistemleri faaliyetleri kapsamında destek hizmeti alınıyor olması
durumunda banka, destek hizmeti kuruluşu tarafından tutulan denetim izlerinin
kendi standartlarına uygunluğunu ve bu denetim izlerine erişilebilinmesini temin
eder.
4.1.1.10. Veri Gizliliği
Banka, bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu
işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak
önlemleri alır. Alınacak önlemler, gizliliği sağlanmaya çalışılan işlem ve verilerin
gizlilik derecesine uygun olmalı, gerekli yerlerde ek kontroller tesis edilmelidir. Bu
çerçevede yapılan çalışmalar, sırlanın saklanmasına ilişkin mevzuat
yükümlülüklerini karşılayacak nitelikte olmak zorundadır. Gizliliği sağlamak üzere
yapılacak çalışmalar asgari olarak aşağıdaki hususları içerir;
• Değer ve risk analizi gerçekleştirilerek, verilerin hassasiyetine uygun
153
tedbirlerin alınmasının temin edilmesi, bu değerlendirme sırasında bankanın
ağ ve sistem yapısının, operasyonların, genişliğinin ve çeşitliliğinin göz
önünde bulundurulması,
• Verilere, görevler ayrılığı ilkesi göz önünde bulundurularak
tanımlanmış kişilerce, kişilerin sorumluluğu gereği kendileri için
öngörülen yetkiler çerçevesinde, uygun bir kimlik doğrulama süreci
sonrasında ulaşımın temin edilmesi,
• Veri gizliliğini sağlamada kullanılacak şifreleme teknikleri için güncel
durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş
algoritmaların baz alınması, ilgili algoritmalar için kullanılacak şifreleme
anahtarlarının geçerli olacağı ve kullanılabileceği zaman zarfında
kırılamayacak şekilde uzun seçilmesi,
• Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının
kullanılabilirliğinin engellenmesi, verinin ve operasyonun kritiklik
düzeyine göre anahtarların değiştirilme sıklıklarının belirlenmesi,
• Şifreleme anahtarlarının yüksek güvenlik altında oluşturulması, müşteri
ve personel kullanımına sunulması ve saklanması,
• Gizlilik arz eden bankacılık verilerine erişimlerin kayıt altına alınması ve
bu kayıtların yetkisiz erişim ve müdahalelere karşı korunması,
• Destek hizmeti alımı kapsamında destek hizmeti kuruluşlarının,
bankacılık verilerine erişiminin söz konusu olduğu durumlar için bu
madde altında söz edilen hususlar ile bankanın bilgi güvenliği
standartlarına uyumlu davranmasının sağlanması.
4.1.1.11. Müşterilerin Bilgilendirilmesi
Banka tarafından sunulan elektronik bankacılık/alternatif dağıtım kanalları
(internet, telefon, televizyon, WAP/GPRS, Kiosk, ATM vb.) hizmetlerinden
yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla
ilgili olarak açık bir şekilde bilgilendirilir. Buna ek olarak bankanın söz konusu
hizmetlere ilişkin risklerin etkisini azaltmaya yönelik benimsediği güvenlik
154
prensipleri ve bu risklerden korunmak için kullanılması gerekli yöntemler mutlak
suretle müşterinin dikkatine sunulur.
Bilgi sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı
müşterilerin yaşayabileceği sorunların takip edilebileceği ve müşterilerin şikâyetlerini
ulaştırmalarına imkân tanıyacak mekanizmalar oluşturulur. Ulaşan şikâyet ve
uyarılar dikkatle değerlendirilerek, banka imajını zedeleyici aksaklıkların giderici
çalışmalar yapılır.
4.1.1.12. Müşteri Bilgilerinin Mahremiyeti
Banka, müşteri bilgilerinin mahremiyetini sağlamaya yönelik gerekli
tedbirleri alır. Banka, mahremiyeti konu alan politika ve prosedürleri oluşturur, yazılı
hale getirir, ilgili tüm birimlere iletir; bankacılık faaliyetleri kapsamında edindiği
müşteriye ait bilgileri amaçlan dışında kullanamaz, saklayamaz ve diğer taraflarla
paylaşamaz.
Müşterilerin, kişisel bilgileri toplanmadan, kullanılmadan ve diğer taraflarla
paylaşılmadan önce rızası alınmalı, müşterilere kişisel bilgilerini diğer taraflarla
paylaşıp paylaşmama konusunda seçenek sunulmalı ve müşterinin böyle bir
seçeneğinin bulunduğuna dair mutlaka bilgilenmesi sağlanmalıdır.
Diğer taraflarla paylaşılan kişisel bilgilerin mahremiyetinin sağlanması
bilginin paylaşıldığı tarafın değil bankanın sorumluluğundadır.
4.1.1.13. İş Sürekliliği Ve Kurtarma Prosedürü
Banka, faaliyetlerinde herhangi bir kesinti yaşanmaması için etkin bir acil
ve beklenmedik durum, iş süreklilik ve kapasite planlaması yapar. Bu kapsamda
banka uygun bir yedekleme altyapısı tesis eder, performans takip teknikleri kullanır,
ağ altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif kanallar
155
oluşturur, yazılı hale getirilmiş ve periyodik olarak test edilen bir servis süreklilik ve
kurtarma prosedürü geliştirir.
Bilgi sistemlerinde yaşanabilecek problemler nedeniyle faaliyetlerin
kesintiye uğramasını önlemek üzere yönetim kurulu tarafından onaylanmış bir iş
süreklilik planı hazırlanır. Hazırlanan plan acil ve beklenmedik durum planını kapsar
veya uyumlu olacak şekilde düzenlenir. Planın bankanın hedefleri ve öncelikleriyle
uyumlu, güncel ve yeterli olması esastır. Plan ayrıca alternatif senaryoları
içerecek şekilde düzenlenir. Planda görevler, roller ve riskler açık ve net olarak
tanımlanır. Acil ve beklenmedik durumlar için tüm personel bilgilendirilir, görev ve
sorumlulukları konusunda eğitilir. İş süreklilik planı hazırlanırken; iş etki
analizi, risk değerlendirmesi, risk yönetimi ve risk izleme faaliyetleri
gerçekleştirilir.
Mevcut planın etkinliğini ve güne uygunluğunu temin etmek üzere
düzenli olarak testler yapılır ve test sonuçları üst yönetime raporlanır.
İş süreklilik ve kurtarma prosedürleri periyodik olarak ve bunları
etkileyecek değişikliklerden sonra gözden geçirilir, gerekli güncellemeler yapılır.
İç Sistemler Yönetmeliğinin 13 üncü maddesinin 5 inci fıkrasında yer
alan hüküm uyarınca veri yedekleme merkezi kuruluyorken, riskleri asgari
seviyeye indirgemek üzere yer seçiminde gerekli dikkat gösterilir. Gerçek sistem
ile yedekleme merkezinin aynı risklere karşı hassas olmaması öncelikli hedef
olarak alınır, coğrafi konum olarak ana merkezden yeterince uzağa kurulur.
Banka, bilgi sistemleri varlıklarının ve tutulan verilerin
kritikliğini değerlendirerek olası kesintilerin etkilerini analiz eder. Bu etki
analizinin sonuçlarına göre her bir servis için kabul edilebilir kesinti süreleri
belirleyerek, bu kesinti süresi içerisinde servisin tekrar erişime açılabilmesine
imkân tanıyacak kurtarma prosedürleri geliştirir ve buna göre gerekli önlemleri alır.
156
Banka, bilgi sistemleri alt yapısının kapasitesinin ölçeklenebilirliğini,
genel piyasa dinamikleri ve planlanmış müşteri kazanma oranı ışığında analiz eder.
İşlem hacmi tahminleri doğrultusunda gerçekleştirilecek stres testleri ile alt
yapının dayanıklılığı periyodik olarak test edilir.
İş süreklilik ve kurtarma prosedürleri geliştirilirken eğer varsa ilgili
destek hizmeti kuruluşları da dikkate alınır, testlere destek hizmeti kuruluşları da
dâhil edilerek önlemlerin etkinliği kontrol edilir.
4.1.1.14. Acil ve Beklenmedik Durum Planı
Banka, faaliyetlerini güvenilir şekilde sürdürmesini etkileyebilecek, iç
ve dış saldırıları da kapsayan, bilgi sistemlerine ilişkin beklenmedik olaylan yönetmek
ve bunların etkilerini en aza indirmek üzere uygun acil ve beklenmedik durum planı
hazırlar.
Acil ve beklenmedik durum planı, riskin olasılığı ve etkisi göz
önünde bulundurularak, öngörülen senaryolar için, faaliyetlerin güvenilir
bir şekilde sürdürülmesini sağlayan hızlı, etkili ve düzenli bir tepki sürecini ele alır.
Acil ve beklenmedik durum planı bankanın iş süreklilik planının genel
çerçevesi ile uyumlu geliştirilerek, planların tutarlı olması temin edilir. Acil ve
beklenmedik durum planında görevler ve sorumluluklar tereddüde yer
vermeyecek şekilde açık olarak tanımlanır ve kişilere atanır.
Banka, beklenmedik olayları erken haber almayı sağlayacak mekanizmaları
tesis eder.
Acil ve beklenmedik durum planı kapsamında, olayın kaynağını hızlı bir
şekilde bulmayı sağlama, hasan tespit etme, olayın potansiyel boyutunu ve
157
etkisini gösterme, yetkili yönetim birimine ulaştırılmasını sağlama ve etkilenen
müşterileri tespit etme süreçleri ele alınır.
Acil ve beklenmedik durum planı, bankanın, müşterileri ve yayın organları ile
hangi iletişim yöntemlerinin kullanılacağının da belirtildiği haberleşme stratejisini
içerir. Söz konusu strateji ile banka müşterileri ve yayın organlarının zamanında ve
doğru haber alması temin edilir.
Banka, gerçekleşecek her türlü beklenmedik olay için, olayın sonradan
incelenmesine imkân tanıyacak, adli incelemede kullanılabilecek nitelikte
kayıtlan ve bilgileri toplayan bir mekanizma tesis eder. Tutulacak kayıtlar
uğranılan parasal kaybı belirlemeyi sağlayacak bilgileri de içerir.
Bilgi sistemlerine ilişkin acil ve beklenmedik durum planı hazırlanmasına
dair bu maddede yer alan hükümler, İç Sistemler Yönetmeliğinin "Acil ve
beklenmedik durum planı" başlıklı 13 üncü maddesinde yer alan hükümlere
ilave olacak şekilde değerlendirilir.
4.1.2. Bilgi Sistemlerine İlişkin İç Kontrol Sistemi Bilgi Sistemleri Kontrolleri
Banka, varlıklarının korunmasını, faaliyetlerinin etkin ve verimli bir şekilde
Kanuna ve ilgili diğer mevzuata, banka içi politika ve kurallara ve bankacılık
teamüllerine uygun olarak yürütülmesini, muhasebe ve finansal raporlama
sistemlerinin güvenilirliğini, bütünlüğünü ve bilgilerin zamanında elde
edilebilirliğini sağlamak üzere bilgi sistemlerine ilişkin iç kontrolleri tesis eder.
Bilgi sistemlerine ilişkin kontroller, genel bilgi sistemi kontrolleri ve uygulama
kontrollerinden oluşur.
158
4.1.2.1. Uygulama Kontrolleri
Uygulama kontrolleri, bilgi sistemleri içerisinde yer alan ve bankacılık
faaliyetlerini yürütmek veya desteklemek için kullanılan finansal verilerin
tanımlanması, üretilmesi, kullanılması, bütünlük ve güvenilirliğinin sağlanması,
verilere erişimin yetkilendirilmesi gibi tüm iş süreçlerinde kullanılması gereken iç
kontrollerin etkinliğinin ve yeterliliğinin denetlenmesini ve değerlendirilmesini
kapsar.
Uygulama kontrolleri, bankanın iş süreçlerinin kontrolünü ifade eden iş
döngüsü kontrolleri içerisinde yer alan, bilgisayar destekli ve manüel yordamlarla
gerçekleştirilen özelleşmiş kontrollerdir.
Uygulama kontrolleri asgari düzeyde aşağıdaki unsurları içerir;
a) Veri Oluşturma/Yetkilendirme Kontrolleri:
1) Veri hazırlama prosedürleri: Girdi form tasarımları, hataların ve
eksikliklerin en aza indirilmesine yardım eder. Veri oluşturma sürecinde
kullanılan hata ele alma prosedürleri, hataların ve düzensizliklerin tespit
edilmesini, raporlanmasını ve düzeltilmesini temin eder.
2) Kaynak belge yetkilendirme prosedürleri: Yetkilendirilmiş personel,
yetkilerine uygun bir biçimde kaynak belgeleri hazırlar. Kaynak belgelerin
oluşturulması ve naylanması konusunda görevler ayrılığı prensibine göre hareket
edilir.
3) Kaynak belge verilerinin toplanması: Yetkilendirilmiş kaynak
belgelerin bütünlüğünü ve doğruluğunu, hesap verilebilirliğini ve zamanında
iletimini temin eden prosedürler bulunmalıdır.
4) Kaynak belgelerdeki hataların ele alınması: Veri oluşturma sürecinde
kullanılan hata ele alma prosedürleri, hataların ve düzensizliklerin tespit edilmesini,
raporlanmasını ve düzeltilmesini temin eder.
159
5) Kaynak belgelerin muhafazası: Gerektiğinde veriye ulaşılabilmesini sağlamak
amacıyla, orijinal kaynak belgelerin yeterli bir süre boyunca saklanmasını veya
yeniden oluşturulabilir biçimde tutulmasını temin etmek için prosedürler
bulunmalıdır.
b) Girdi Kontrolleri:
1) Girdi yetkilendirme prosedürleri: Yalnızca yetkilendirilmiş kaynaklardan
veri girişi yapılabilmesini temin eden prosedürler bulunmalıdır.
2) Doğruluk, bütünlük ve yetkilendirme kontrolleri: Personel veya sistem
tarafından üretilen, ya da ara yüzlerden işlenmek üzere girilen hareket verileri
doğruluk, bütünlük ve geçerlilik kontrolü için çeşitli testlere tabi tutulur. Ayrıca,
girdi verilerinin kaynak noktasına en yakın yerde değiştirilmesini ve
onaylanmasını temin eden prosedürler bulunmalıdır.
3) Veri girdilerindeki hataların ele alınması: Hatalı girilen verilerin
düzeltilmesini ve tekrar işleme alınmasını temin eden prosedürler bulunmalıdır.
c) Veri İşleme Kontrolleri:
1) Veri işlemede bütünlük: Veri işleme prosedürleri, görevler ayrılığı
prensibine uyulmasını ve yapılan işlerin doğrulanmasını temin eder. Bu
prosedürler ayrıca, çalıştırmadan çalıştırmaya kontrol toplamları ve esas dosya
güncelleme kontrolleri gibi yeterli güncelleme kontrollerinin varlığını da temin eder.
2) Veri işlemede onaylama ve değiştirme: Veri işlemede onaylama,
kullanıcı doğrulaması ve değiştirmenin kaynak noktasına en yakın yerde
gerçekleştirilmesini temin eden prosedürler bulunmalıdır.
3) Veri işlemedeki hataların ele alınması: Veri işlemedeki hataların ele
alınmasına ilişkin prosedürler, hatalı hareketlerin işlenmeden belirlenmesini sağlar
ve diğer geçerli hareketleri kesintiye uğratmasını engeller.
160
d) Çıktı Kontrolleri:
1) Çıktıların ele alınması ve muhafazası: Bilgi sistemleri
uygulamalarının çıktılarının ele alınması ve muhafazasında belirlenmiş prosedürler
izlenmeli, gizlilik ve güvenlik gereksinimleri dikkate alınmalıdır.
2) Çıktıların dağıtımı: Bilgi sistemleri çıktılarının dağıtımı ile ilgili
prosedürler tanımlanmış, duyurulmuş ve takip ediliyor olmalıdır.
3) Çıktı uyumluluğu ve mutabakatı: Çıktıların kontrol toplamlarıyla
uyumluluğu rutin olarak kontrol edilmelidir. Log kayıtları, hareketlere ilişkin
işlemlerin takip edilmesini ve sorunlu verilerle ilgili mutabakat sağlanmasını
kolaylaştırır.
4) Çıktıların gözden geçirilmesi ve hataların ele alınması: Çıktı
raporlarının doğruluğunun, çıktıları sağlayan kişiler ve uygun kullanıcılar
tarafından gözden geçirilmesini temin eden prosedürler bulunmalıdır. Ayrıca,
çıktılarda bulunan hataların tanımlanması ve ele alınması ile ilgili de prosedürler
olmalıdır.
5) Çıktı raporlarının güvenliğinin sağlanması: Hem kullanıcılara dağıtımı
yapılmış hem de dağıtım için bekleyen çıktı raporlarının güvenliğinin
sağlanmasıyla ilgili prosedürler bulunmalıdır.
e) Sınır Kontrolleri:
1) Aslına uygunluk ve bütünlük kontrolleri: Organizasyon dışında
üretilen, telefon, sesli posta, kâğıt, faks veya e-posta ile alınmış verinin aslına
uygunluğu ve bütünlüğü, veri üzerinde kritik bir işlem yapılmadan uygun
bir şekilde kontrol edilmelidir.
2) Hassas bilginin iletim ve nakil esnasında korunması: Hassas bilginin,
iletim ve nakil esnasında, yetkisiz erişim, değişiklik ve yanlış yönlendirmeye
karşı uygun bir biçimde korunması gerekir.
161
4.1.2.2. Genel Kontroller
Bilgi sistemleri genel kontrolleri, banka bilgi sistemlerinin tamamına veya
büyük bir bölümüne tatbik edilen, bilgi sistemlerinin kendilerinden beklenen
fonksiyonları doğru bir şekilde yerine getirmesi, istenmeyen olayların
engellenmesi, belirlenmesi ve düzeltilmesi ile ilgili olarak yeterli derecede güvence
oluşturulması ile uygulama kontrollerinin işlevselliği için güvenilir bir ortamın
oluşturulmasını hedefleyen politika ve prosedürlerden oluşur. Genel kontroller,
bankanın bilgi sistemlerinin bir bütün olarak kendisinden beklenen fonksiyonları
doğru, zamanında ve güvenilir bir şekilde gerçekleştirilmesine yönelik ortamın
tesisinde temel unsurlardır.
Banka, genel kontrollerin tesisi amacıyla uluslar arası kabul görmüş bir
standart, çerçeve veya metodolojiyi belirleyerek, buna göre kontrolleri tesis eder.
Seçilecek standart, çerçeve veya metodoloji, bankanın faaliyet kapsamı ve
faaliyetlerde yararlanılan bilgi teknolojileri ağırlığı ve karmaşıklığı göz önünde
bulundurularak belirlenir. Bankanın bilgi sistemleri genel kontrollerini tesis etmek
üzere kullanacağı standart, çerçeve veya metodolojinin COBIT'te ele alınan kontrol
hedeflerini gerçekleyebilmesi, eğer bu konuda eksiklikleri varsa buna ilişkin
kontrollerin ayrıca ele alınarak tesis edilmesi gerekir.
Banka, genel kontrol konusu her bir sürece ilişkin olarak aşağıda sayılan
hususlara uygun bir ortam tesis eder:
a) Süreç sahibi: Her genel kontrol konusu süreç için sorumluluğu
açıkça tanımlanmış bir süreç sahibi atanır.
b) Tekrarlanabilirlik: Genel kontrol konusu süreçler tekrarlanabilir
biçimde tanımlanır.
c) Hedefler ve Amaçlar: Etkin bir biçimde çalışmalarını sağlamak amacıyla
her genel kontrol konusu süreç için açıkça tanımlanmış hedefler ve amaçlar
oluşturulur.
162
d) Roller ve Sorumluluklar: Etkin bir biçimde çalışmalarını sağlamak
amacıyla her genel kontrol konusu süreç için açık bir şekilde roller, faaliyetler ve
sorumluluklar tanımlanır.
e ) Süreç Performansı: Belirlenen hedeflere göre her genel kontrol
sürecinin performansı ölçülür.
f) Politikalar, Planlar Ve Prosedürler: Her bir genel kontrol süreciyle
ilgili politikalar, planlar ve prosedürler yazılı hale getirilir, belli aralıklarla gözden
geçirilir, güncellenir, onaylanır ve tüm ilgili birimlere duyurulur.
4.1.2.3. Kontrollerin İzlenmesi
İç Sistemler Yönetmeliğinde ifade edilen iç denetim faaliyetlerinin bir
parçası olarak, bilgi sistemleri kontrollerinin etkinliğinin, yeterliliğinin ve
uygunluğunun yanı sıra kontrol ile hedeflenen risk ya da risklerin etkisini azaltmaya
yönelik performansı devamlı bir şekilde izlenir ve değerlendirilir. Değerlendirme
neticesinde tespit edilen önemli kontrol eksikleri üst yönetim ya da ilgili
komiteye/komisyona raporlanır.
4.1.3.Bilgi Sistemlerine İlişkin İç Denetim Bilgi Sistemleri İç Denetimi
Üst yönetime bilgi sistemleri kapsamındaki faaliyetlerin Kanun ve ilgili diğer
mevzuat ile banka içi strateji, politika, ilke ve hedefler doğrultusunda yürütüldüğüne
dair ve iç kontrol ve risk yönetimi sistemlerinin etkinliği ve yeterliliği hususunda
güvence sağlamak üzere, banka iç denetim faaliyetleri kapsamında, elektronik bilgi
sistemi ile elektronik bankacılık hizmetleri de dâhil olmak üzere ve BSDHY'nin
"Bilgi Sistemleri Denetimi" başlıklı Dördüncü Bölümünde belirlenen usul ve esaslar
çerçevesinde bilgi sistemleri gözden geçirilir.
Bankanın bilgi sistemlerinin yönetimine ilişkin idari, organizasyonel ve
teknik yapılarının, bu Tebliğ ile tanımlanan ilkelere uygunluğu periyodik olarak
163
gözden geçirilir. Uyumsuzluk tespit edilmesi durumunda gerekli düzeltici önlemler
alınır.
Bankanın bilgi sistemleri denetimini gerçekleştirecek müfettişlerinin,
yetkinlik ve yeterliliklerinin devamını sağlamak adına bilgi sistemleri denetimi ve
ilgili alanlarda sürekli eğitim programlarına katılımı sağlanır.
4.2. ÖZELLİK ARZ EDEN İŞLEMLER
4.2.1.İnternet Bankacılığı
4.2.1.1. İnternet Bankacılığı Hizmetleri
Bu bölümde yer alan hükümler müşteriye ait finansal veya kişisel bilgilerin
görülmesine, değiştirilmesine veya finansal sorumluluk yaratacak işlemlerin
gerçekleştirilmesine imkân tanıyacak internet bankacılığı hizmetleri için
geçerlidir. İnternet bankacılığına ilişkin her türlü altyapı bankanın bilgi
sistemlerinin bir parçası olarak değerlendirilir. Bu bakımdan Tebliğin diğer
bölümlerinde yer alan hükümler internet bankacılığı kapsamında yapılan
çalışmalar için de geçerlidir. Bu bölüm altında yer alan maddelerin içerdiği
hükümler, Tebliğin İkinci Kısım Birinci Bölümü altında yer alan aynı başlıklı
maddelerin içerdiği hükümlere ilave olacak şekilde değerlendirilir.
4.2.1.2. Yönetim Gözetimi
İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık hizmetlerinin,
internetin doğasından kaynaklanan bir takım ek risklere maruz kalacağı da göz
önünde bulundurulur ve gerekiyorsa ilgili hizmetlere ilişkin süreçler üzerinde ilave
kontroller tesis edilir.
164
4.2.1.3. Güvenlik Kontrol Sürecinin Tesis Edilmesi Ve Yönetilmesi
Güvenlik kontrollerinin yeterliliğini test etmek üzere bağımsız ekiplere, en az
yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için
sızma testleri yaptırılır.
Banka, internet bankacılığı faaliyetleri kapsamında gerçekleşen sıra dışı ve
şüpheli işlemleri tespit etmek için takip mekanizmaları kurar.
4.2.1.4. Kimlik Doğrulama
Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz
ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması
tesis eder. Müşterilerin, kurulan kimlik doğrulama mekanizmasından geçmeden
hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka tarafından kurulur.
Hizmetler için risk seviyelerinin tespiti yapılırken asgari olarak;
• Müşteri tipi,
• Müşteriye sunulan işlemsel olanaklar,
• Banka ile müşteri arasında paylaşılan bilgilerin hassasiyeti,
• Üretişim metodu ve İşlem hacmi hususları dikkate alınır.
• İnternet bankacılığı için kimlik doğrulama işlemi, müdahil tüm taraflar
için gerçekleştirilir.
Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden
bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin
"sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur
sınıflarından farklı birine ait olmak üzere seçilir. Müşterinin "bildiği" unsur olarak
parola/şifre bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık
şifre üretim cihazı gibi bileşenler, "biyometrik bir karakteristiği" olarak da
165
parmak izi gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına
özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli,
hizmetlere erişim sağlanamamalıdır.
Müşterilere uygulanan kimlik doğrulamada kullanılacak şifre ve parolaların
yönetilmesi için politika belirlenmeli, bu politika asgari olarak aşağıdaki hususları
içermelidir;
• Şifre ve parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve
uzunlukta olması, müşterilerin şifre ve parolalarını belirlerken bu
karmaşıklığı sağlayacak biçimde sistemsel olarak zorlanması,
• Şifrelerin, belirli bir süre için kullanılması, bu süre sonunda kullanım dışı
kalması, müşterinin yeni bir şifre belirlemeye zorlanması; yeni şifrenin, son
kullanılan belirli sayıdaki şifreden farklı olmadığı sürece sistemin yeni şifreyi
kabul etmemesi,
• Şifre ve parolaların sıfırlanması işlemlerinin yeterli güvenlik
kontrollerini içermesi,
• Müşterilerin, uygun parola ve şifre belirleme ve bunların
gizliliğinin sağlanmasının önemi konusunda bilgilendirilmesi.
Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle
literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz
almalıdır. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarının
geçerli olacağı ve kullanılabileceği zaman zarfında kınlamayacak şekilde uzun
seçilmelidir. Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının
kullanılabilirliği engellenmelidir.
Kimlik doğrulamada kullanılacak şifreleme anahtarlan; bu anahtarların ele
geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve
bozulmasını önleyecek yöntemler barındıran özel cihazlar üzerinde müşteri
kullanımına sunulur. Şifreleme anahtarlan kimlik doğrulama için kullanılmak
166
istendiklerinde, bir parola veya PIN (Kişisel Tanımlama Numarası) bilgisi ile
erişilebilir olmalıdır.
İnternet bankacılığı faaliyetleri kapsamındaki işlemlerin gerçekleştirilmesi için
müşteriye işlem doğrulama kodu sorulması durumunda, kullanılacak doğrulama
kodları tahmin edilmesi zor olacak şekilde yeterli uzunlukta alfabetik ve rakamsal
karakterden oluşmalı, rastgele yaratılmalı ve müşteriye internet kanalı haricinde bir
iletim ortamı üzerinden ulaştırılmalıdır. İşlem doğrulama kodları, geçerli bir kodun
tahmin edilmesine imkân vermeyecek şekilde değişken ve eşsiz olarak üretilmelidir.
Geçici kimlik doğrulama bilgisi sunan cihazlardaki bu bilgi belirli bir süre
sonra siliniyor olmalı ve/veya bir temizleme olanağı ile cihazdan silinebilmeli, bu
cihazların ürettiği şifreler, başka yollarla belirlenmesi imkânsız, değişken ve eşsiz
olmalıdır.
Müşterilere uygulanacak kimlik doğrulama mekanizmasında kullanılacak
şifre, parola, tek kullanımlık şifre cihazı, şifreleme özel anahtarı, akıllı kart ve işlem
doğrulama kodu gibi bileşenlerin üretim aşamalarından başlayarak müşteriye
ulaştırılmasına kadar geçen sürecin tamamı boyunca, bu bileşenlerin güvenliği
sağlanır ve müşteri kullanımına sunulduğu anda güvenilirliğinin bozulmadığından
bankaca emin olunur.
Banka tarafından internet bankacılığı faaliyetleri kapsamındaki işlemlerde
kullanılmak üzere müşterilerine sunulan her türlü yazılımın kaynağının, ilgili banka
olduğunun doğrulanabiliyor olması sağlanır ve bu yazılımların kullanıcı güvenliğini
tehlikeye sokacak herhangi bir kod içermediğinin belirlenmesini sağlayacak
kontroller banka tarafından yapılır. Banka tarafından oluşturulacak kimlik doğrulama
mekanizmasının;
• Başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme
ilk girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı aşması
halinde ise ilgili müşterinin internet bankacılığına erişimini bloke etmesi,
167
• Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü
gerçekleştiren kişiye, yanlış girilen kullanıcı bilgisi veya şifresi ile ilgili,
örneğin böyle bir kullanıcının sistemde olmadığı veya şifrenin yanlış girildiği
gibi, gereksiz bilgi vermemesi gerekir
.
Banka, müşterilerine ve personeline ait kimlik doğrulama bilgilerini ele
geçirmeye yönelik bilinen saldırılara karşı gerekli sistemsel ve yazılımsal önlemleri
alır.
Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına,
internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri
düzenli olarak banka tarafından takip edilir, oransal bir anormallik görüldüğünde
incelemeye alınır.
4.2.1.5. İnkâr Edilemezlik Ve Sorumluluk Atama
Banka, sunmakta olduğu internet bankacılığı faaliyetleri kapsamında
gerçekleştirilen işlemler için inkâr edilemezliği ve sorumluluk atamayı mümkün
kılacak teknikleri kullanır ve kontrolleri tesis eder. Kullanılacak teknikler ve tesis
edilecek kontroller, gerek banka için gerekse müşteri için, finansal sonuç doğuran her
türlü işlemde, hem işlemi başlatan hem de işlemi sonuçlandıran tarafın
gerçekleştirdiği işlemleri inkâr edememesini sağlamalıdır. Kullanılan tekniğin veya
tesis edilen kontrollerin oluşturduğu denetim izleri delil teşkil edecek ve sorumluluk
atayacak nitelikte olmalıdır.
Kullanılacak teknikler kimlik doğrulama mekanizmasına dayalı ve onunla
bütünleşik olabileceği gibi, tamamen inkâr edilemezliği ve sorumluluk atamayı
sağlamaya yönelik de olabilir.
168
Banka tarafından sunulan internet bankacılığı servisi, müşterilerin yanlış işlem
yapma ihtimalini azaltacak gerekli kontrolleri içerecek şekilde düzenlenmeli
ve başlattıkları işlemlere ilişkin riskleri tamamen anlamalarını temin etmelidir.
4.2.1.6. Denetim İzlerinin Oluşturulması
Banka, tüm internet bankacılığı faaliyetleri için yeterli ve etkin bir denetim izi
tutma mekanizması tesis eder. Banka asgari olarak;
• Hesap açılışı, kapanışı ve hesapta değişiklik faaliyetlerine,
• Finansal sonuç doğuran işlemlere,
• Müşteri için verilen limit aşım onaylarına,
• İnternet bankacılığı sistemine erişimi düzenleyen hak, ayrıcalık ve
kısıtlamalarda yapılan her türlü değişikliğe ilişkin denetim izlerini tutar. Denetim
izlerinin, gerçekleşen işlemlerin başlangıcından sonuna kadar akışını ve kaynağını
tanımlayacak detayda bilgi içermesi gerekir.
Banka, internet bankacılığı faaliyetlerine ilişkin işlem ve kayıt tutma
süreçlerinin ve alt yapısının, adli delil üretecek ve bu delillerin bozulmasını
önleyecek, yanıltıcı delilleri ayırt edebilecek ve taraflara sorumluluk yüklemede
kullanılabilecek bilgileri sunacak şekilde yapılanmasını temin eder.
4.2.1.7. Müşterilerin Bilgilendirilmesi
Banka, internet bankacılığı hizmetine ilişkin mevcut politika ve prosedürler ile
dikkat edilmesi gereken hususlar konusunda müşterilerini bilgilendirir, gerekli
uyarılarda bulunur.
Banka, müşteri talebi olmadan internet bankacılığı hizmetini ilgili müşteri için
kullanıma açamaz. Müşteri, internet bankacılığı hizmetine erişimi kapatmışsa
veya kapattırmışsa, müşterinin yeni bir talebi olmadan internet bankacılığı hizmeti
kullanıma açılamaz.
169
Banka, internet bankacılığı hizmetinin verildiği internet sitesinde, erişilen
sitenin bankaya ait olduğunu gösterecek teknikleri kullanır.
Banka, internet bankacılığı hizmetini sunduğu internet sitesi üzerinden, kimliği
ve kanuni statüsü ile ilgili bilgiler sunar. Bu kapsamda asgari olarak aşağıdaki
bilgileri verir:
• Bankanın ticari unvanı, merkez şube adresi,
• Bankanın denetiminden sorumlu olan Bankacılık Düzenleme ve Denetleme
Kurumuna ilişkin iletişim bilgileri,
• Mevduatların sigortalanma koşul ve kapsamına ilişkin bilgiler.
Banka;
• İnternet bankacılığı servislerinin kullanımının taşıdığı riskler ve
sağladığı faydalar ile internet bankacılığı servislerinden yararlanacak
müşterilerin sorumluluk ve hakları hususunda müşterilerine açık ve anlaşılır
bilgiler sunmakla,
• Müşterilerin kişisel bilgilerinin gizliliğini sağlamaya ilişkin politika
ve prosedürleri, banka güvenliğini zafiyete uğratmama hususunu
gözeterek, müşteri dikkatine sunmakla,
• Müşterilere ait bilgilerin kimler tarafından erişilebilir olduğu ve hangi
amaçlarla kullanılacağı konularında müşterilerini bilgilendirmekle,
• İnternet bankacılığı servisi kapsamında hangi hizmetlerin verildiği ve bu
hizmetlere erişim şartları ile güvenlik gereklilikleri konularında müşterilerini
bilgilendirmekle,
• Müşterilerinde farkındalık yaratmayı amaçlayan yönlendirici güvenlik
kılavuzları yayınlamakla ve banka güvenliğini zafiyete uğratmama hususunu
gözeterek bu konudaki politika ve prosedürlerini müşterilerin dikkatine
sunmakla,
• İnternet bankacılığı sisteminde veya internet bankacılığı hizmetinin
sunulduğu internet sitesinde yapılan veya yapılacak; güvenliği, işlem
bütünlüğünü veya erişilebilirliği etkileyebilecek her türlü değişiklik hakkında
170
müşterilerin bilgilendirilmesini sağlamakla yükümlüdür.
Banka ayrıca aşağıdaki hususlarda müşterilerini bilgilendirir;
• İnternet bankacılığı hizmeti kapsamında sunulan servislerin nasıl
kullanılacağı,
• İnternet bankacılığı kanalı üzerinden bankacılık işlemlerinin güvenli bir
şekilde gerçekleştirilebilmesi için müşteriler tarafından nelerin yapılması
gerektiği, parola veya şifre seçiminde nelere dikkat edilmesi gerektiği,
bunların güvenliğini sağlamaya ilişkin müşteri sorumlulukları,
• Herhangi bir problemle karşılaşılması durumunda nelerin yapılması gerektiği,
• Sunulan ve alınan her bir hizmete ilişkin koşullar; tarafların açık ve tereddüde
yer bırakmayacak şekilde sorumluluklarının ve görevlerinin tanımı.
Bu madde kapsamında tanımlanmış olan müşteri bilgilendirmesine yönelik her
türlü açıklama, bankanın internet bankacılığı hizmetini sunduğu internet sitesi
üzerinden müşteri erişimine daima açık tutulur. Tüm açıklamalar mümkün
olduğunca kısa ve anlaşılır olmalıdır. Açıklamalar internet bankacılığı hizmetinin
verildiği sitede dikkat çekici bir yere yerleştirilir, müşterilerin en az bir kere
okumasını garanti edecek şekilde yönlendirmeler ve sistemsel kısıtlamalar uygulanır.
Banka, yaptığı pazarlama faaliyetleri, reklâmlar veya yayınlar vasıtasıyla
müşterilerine internet bankacılığı sistemlerinin mutlak olarak güvenli olduğu veya
internet bankacılığı servislerinde hiçbir güvenlik riskinin bulunmadığı izlenimini ve
bilgisini verecek ifadelerden kaçınır. Müşteriler internet bankacılığı risklerine ve
tehditlerine karşı uyarılır ve bu hususlarda müşteri farkındalığı oluşturulması için
azami özen gösterilir.
Mobil cihazlar ile gerçekleştirilen internet bankacılığı işlemleri için de bu
madde altında bahsedilen bilgilendirme zorunlulukları geçerlidir. Söz konusu
cihazların kısıtlı olanaklar sunması bu konuda bankalara muafiyet getirmez.
171
4.2.1.8. Müşteri Bilgilerinin Mahremiyeti
Banka, müşteri ile imzalanan internet bankacılığı sözleşmesi yoluyla, kişisel
bilgilerin hangi amaçlarla toplanacağı, kullanılacağı, saklanacağı ve diğer taraflarla
paylaşılacağı hakkında müşteriyi bilgilendirir.
Banka, sözleşmede belirtilen amaçlar dışında müşteriden bilgi toplayamaz,
müşteri bilgilerini kullanamaz, saklayamaz ve diğer taraflarla paylaşamaz.
4.2.1.9. Servis Sürekliliği Ve Kurtarma Prosedürü
Banka, internet bankacılığı servisi için beyan ettiği veya müşterileri arasında
oluşan beklentiyi karşılayacak şekilde servis sürekliliğini sağlar. Servis kesintisinin
doğurabileceği müşteri memnuniyetsizliğini ve hukuki sorumlulukları en aza
indirmek üzere banka gerekli önlemleri alır. Bu amaçla banka, tesis edilecek
alternatif ve yedek servis kanallarının, müşteri beklentilerini karşılayacak nitelikte
olmasına dikkat eder.
Banka mücbir sebepler dışında müşterilerine önceden duyurmaksızın servis
kesintilerine gidemez, internet bankacılığı servislerinde oluşacak kesintileri
müşterilerine mümkün olduğunca önceden duyurur ve bu kesintilere ilişkin teknik
gerekçeleri de içerecek şekilde müşterilerini bilgilendirir.
Servis süreklilik ve kurtarma prosedürleri geliştirilirken servis dışı bırakma
atakları da göz önünde bulundurulur, bunlara karşı gerekli önlemler alınır.
172
4.2.2. ATM
4.2.2.1. ATM güvenliği
Banka, ATM cihazlarına ilişkin hırsızlık, sahtekârlık, fiziksel saldırı gibi
tehditlere ilişkin riskleri minimize edici önlemleri tesis eder ve ATM cihazlarının
güvenli kullanımı hususunda müşterilerinde farkındalık yaratır.
ATM cihazları üzerinde ön tanımlı olarak gelen her türlü şifre, ATM cihazının
bu ön tanımlı şifreleri bilen kötü niyetli kişiler tarafından yönetilmesini engellemek
amacıyla, kolaylıkla tahmin edilemeyecek şekilde değiştirilir.
ATM cihazları üzerine, zararlı içerikli programların kötü niyetli kişilerce
yüklenmesini ve yetkisiz erişimi engelleyecek gerekli yazılımlar yüklenmeli,
cihaza yetkisiz kişilerin herhangi bir şekilde başka bir elektronik cihaz bağlamasını
sağlayacak bütün giriş noktalan erişime kapatılmalıdır. ATM'ler üzerine, güvenlik
açıklıklarını gidermek amacıyla otomatik olarak veya düzenli periyotlar ile gerekli
güncellemeler ve yamalar yüklenir. ATM cihazı ile banka arasındaki ağ bağlantısına
yetkisiz olarak diğer cihazların bağlanmasını engelleyecek ek güvenlik tedbirleri
uygulanır.
ATM cihazları üzerinden gerçekleştirilen işlemler için kullanılan iletişim ağı
veri güvenliği, gizliliği ve bütünlüğünü sağlayacak özellikte olmalıdır. Müşterilerin
girdiği PIN bilgileri ve gerçekleştirilecek işlemlere ilişkin bilgiler cihaz içinde ve
cihaz dışındaki ATM ağı boyunca şifrelenmiş bir şekilde iletilmelidir.
ATM cihazlarının servis sürekliğinin sağlanması ve maruz kalabilecekleri
risklerin erken tespiti adına, Banka tarafından ATM cihazları için uzaktan yönetim
ve takip sistemleri kurulur. Söz konusu sistem düzenli olarak belirli hata kodları
yaratan ATM cihazlarını ve hesap numaralarını, bunlar üzerinde şüpheli işlemler
173
gerçekleştiriliyor olması ihtimaline karşı, sistemsel olarak takip edebilecek ve gerekli
uyarıları yapabilecek işlevselliğe sahip olmalıdır.
ATM operatörleri ve teknisyenleri, ATM cihazlarına ilişkin güncel bütün
sahtecilik yöntemleri konusunda eğitilir ve bu gibi personelin ATM cihazlarını
düzenli olarak kontrol etmeleri sağlanır. ATM cihazları özellikle, üzerlerine yabancı
aparatlar veya başka elektronik cihazlar (kart kopyalama cihazları, sahte klavye,
kamera gibi) yerleştirilmiş olma ihtimallerine karşı, operatörler tarafından düzenli
periyotlarla dikkatle incelenmeli ve mümkünse bu tür yabancı cihazların ATM'ler
üzerine eklendiğini tespit edecek ve gerekli uyarıları yapabilecek tespit sistemleri
ATM'lere yerleştirilmelidir.
ATM'e ilişkin bakım faaliyetleri ve mutabakatlar, yeterli sıklıkta ve görevler
ayrılığı prensibine uygun olarak en az iki kişi tarafından gerçekleştirilir.
Banka, müşterilerinin ATM hizmetlerinden güvenli bir şekilde faydalanmasını
sağlamak amacıyla, ATM güvenliği ve güncel bütün sahtecilik yöntemleri hakkında
müşterilerini bilgilendirir ve bu konu hakkında müşterilerinde farkındalık oluşmasını
sağlar.
Banka, kendi sınırları dâhilinde bulunmayan ATM cihazlarını, müşterilerinin
bu cihazları güvenli olarak kullanabilecekleri yerlere konumlandırır. Bu kapsamda,
ATM cihazlarının etrafı uygun bir şekilde ışıklandırılır ve cihaz üzerine kullanıcının
etrafını gösterebilecek şekilde ayna tipi aparatlar yerleştirilir. ATM cihazları, etraftan
geçen şahısların müşterinin klavye hareketlerini göremeyeceği bir şekilde
konumlandırılır.
ATM cihazları, bulundukları zemine sağlam olarak tutturulmadıkça ve kolayca
yerlerinden taşınmalarını engelleyici herhangi bir önlem alınmadıkça, bina
dışına konumlandırılmaz, mümkünse ATM cihazları üzerine fiziksel saldırılan
algılayacak alarmlar ve sensörler yerleştirilir.
174
ATM'ler üzerinde, kullanımı geçerli olan tüm tipteki kartları açıkça gösteren
işaretler ve fiziki olarak değiştirilemeyecek şekilde müşterilerin
şikâyetlerini iletebilecekleri Banka'ya ait telefon numaralan bulunmalıdır.
Banka, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyar, ancak
bu güvenlik kamerası müşterinin klavye hareketlerini göremeyecek biçimde
konumlandırılır. Güvenlik kamerası kayıtlan en az üç ay süreyle saklanır ve
kamera teçhizatları çalıştıklarına dair düzenli olarak kontrol edilir.
4.2.3. Kablosuz Haberleşme Teknolojileri
Banka, bilgi sistemleri alt yapısında, gerek temel bankacılık faaliyetlerinin
ifasında gerekse alternatif dağıtım kanallarının tesisinde kullanılan kablosuz
haberleşme teknolojilerine ilişkin riskleri yönetmek üzere gerekli önlemleri alır.
Kablosuz haberleşme teknolojilerinin bankacılık faaliyetlerinde kullanılmasına
ilişkin risklerin yönetilmesi bilgi sistemleri yönetiminin bir bileşeni olarak ele alınır.
Kablosuz teknolojilerin zayıf yanları da dikkate alınarak gerekli kontroller tesis
edilir.
175
SONUÇ
Son yıllarda dünyada serbestleşme ve küreselleşme eğilimlerinin artması ile
birlikte uluslararası piyasalarda gelişmekte olan ülkelerin önemi de artmaya başlamış
ve bu da sermaye hareketlerini önemli ölçüde etkilemiştir. Sermaye hareketlerinin
gelişmekte olan ülkeleri etkilemesi, bir taraftan finansal piyasalardaki gelişimi
hızlandırırken bir taraftan da risklerin boyutunu ve önemini değiştirmiştir. Özellikle
1997 yılından itibaren Latin Amerika, Asya ülkeleri ve Rusya da yaşanan tecrübeler
finansal piyasalarda risklerin azaltılması ve kontrol edilmesi yönünde bir ihtiyacın
doğmasına neden olmuştur. Bu da finansal sistemde önemli bir yeri olan bankalarda
etkin gözetim ve denetimin sağlanması için uluslararası çalışmaları ve bu alanda
uluslararası kriterler geliştirilmesini teşvik etmiştir.
Bankacılık sektörü, dünyadaki gelişmelerden en çok etkilenen ve mali sistem
içindeki yeri nedeniyle ekonomik yapıyı ve tüm sektörlerin gelişimini etkileyen bir
sektördür. Dünya ekonomisinde ve uluslararası mali piyasalarda meydana gelen
gelişmeler, Türkiye’de bankaların mali durumlarını güçlendirmesi ve uluslararası
standartlarda denetim ve gözetim sistemi kurulması yönünde önemli adımların
atılmasını zorunlu hale getirmiştir. Bu adımlardan birisi de Merkezi Denetimdir. AB
bankalarında çok önce uygulanmaya başlanan “Merkezi Denetim” ülkemizdeki
bankalarda uygulamaya yeni yeni konulmaya başlanmıştır. Merkezi Denetim ile
“Erken Uyarı Modelleri” geliştirilmiş bu sayede risk oluşmaya başlamadan bazı
tedbirlerin alınması son yıllarda mümkün hale gelmeye başlamıştır.
Merkezi Denetimin yanı sıra bankalarımızda, bankalarımızın sahip olduğu
bilgi sistemlerinin periyodik ve eş anlı olarak kontrol ve denetimini sağlayan IT
Denetimi de uygulanmaya başlanmıştır. Fakat bankacılık sektörümüzde Merkezi ve
IT Denetimi için gereken teknolojik alt yapının güncel şartlara ve gelişmelere bağlı
olarak güncellenmesi ve bilgi teknolojilerinin geliştirilmesi gerekmektedir.
Türkiye’de bankacılık sektöründe iç denetim bankalarda bulunan teftiş
sistemi ile yapılmaktaydı. Bankalarda teftiş kuruluna bağlı çalışan elemanlar denetim
176
faaliyetini yerine getirmekteydi. Denetlenecek şubeler, Teftiş Kurulu tarafından
belirlenir ve şubenin ölçeğine ve konusuna göre bir program hazırlanırdı. Her
bankanın teftiş kurulu kendi belirlediği kurallara ve esaslara göre iç denetim
faaliyetini gerçekleştirmekteydi.
Uluslararası düzenleyiciler tarafından belirlenen prensipler, BDDK tarafından
hazırlanan “Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında
Yönetmelik” ile Türk Bankacılık Sektöründe iç denetimin uygulanmasını zorunlu
kılmıştır. Bankalarda iç denetimin amacı, bankanın finansal nitelikte olan ve
olmayan tüm faaliyetlerini gözden geçirerek değerlemek, iç kontrol sisteminin
etkinliğini ölçmek ve değerlemek ve bu bilgiler ışığında yönetime tavsiyelerde
bulunarak danışmanlık yapmak şeklinde belirtilebilir.
Türk bankacılık sektöründe BDDK’nın yayımladığı yönetmelikle birlikte
bankalar risk odaklı denetime geçmiştir. “Risk Odaklı Denetim” yaklaşımı içerisinde
bulunan her banka faaliyet alanlarına, işin türüne, niteliğine ve risklerine uygun bir iç
kontrol sistemi benimsemelidir .
İç denetim bankalarda yerinde ve sürekli denetimi esas alan bir yapıdır. Etkin
bir iç denetim fonksiyonu riskleri azaltmak ve fırsatları ortaya çıkartmaya yardımcı
olmaktadır. Bankalar işlevsel birimlerinde iç denetim faaliyetini yürütecek eleman
bulundururlar. İç denetçiler banka içinde kurulmuş olan uygulamadaki etkinliği
gözden geçirirler, banka yönetimi tarafından belirlenmiş olan politika ve
prosedürlere uyulma derecesini belirlerler ve dış denetçilere çalışmalarında yardımcı
olurlar. Yaptıkları bu çalışmaların sonucunda ise elde ettikleri bulguları ve önerileri
içeren raporu bankanın üst yönetimine verirler.
İç denetim fonksiyonunun sağlıklı ve kendisinden beklenilenleri amaca uygun
şekilde yerine getirebilmesi ve ortamdan ortama, kişiden kişiye değişmemesi için,
belli normlar dahilinde yürütülmesi önem taşımaktadır. Bu doğrultuda Uluslararası İç
Denetim Standartları belirlenmiştir.
177
İç denetim birimi nesnel olmalı, yani görevlerini yerine getirirken
müdahaleye uğramaksızın ve önyargısız olarak yapabilecek konumda olmalıdır.
Ayrıca dürüstlük ve yansızlığını etkileyebilecek hiçbir müdahaleye de izin
vermemelidir.
İç denetçiler, mesleki yeterliliklerini koruma ve eğitimlerini devam ettirme
sorumluluğunu taşımalıdırlar. Mesleki yeterlilik ise her elemanın sistematik olarak
sürekli eğitime tabi tutulması yoluyla sürdürülmelidir.
İç denetim, teftiş ve iç kontrol siteminin bütününden oluşan bir süreçtir. Bu
nedenle iç kontrol ve teftiş sistemi birbiriyle koordineli çalışmalıdır. Her ikisinin de
görev tanımları yönetmelikte belirtilmiş olsa da bankalarımızda iç kontrol merkezleri
ile teftiş kurulları arasında zaman zaman görev ve yetki uyuşmazlıkları meydana
gelebilmektedir.
Bankanın her birimi ve her faaliyeti iç denetimin kapsamına girmelidir. İç
denetimin kapsamı, iç kontrolün uygunluğunun ve verilen görevlerin gereği gibi
yerine getirilip getirilmediğinin incelenmesi ve değerlendirilmesini içerir.
Denetim kurulu ve üst düzey yönetimin etkinliğinin sağlanması için iç
denetim fonksiyonunun önemi anlaşılmalı ve her kademede yer alan banka
personelini bu konuda bilgilendirilmelidir.
Etkin bir iç denetim sistemi, banka amaçlarına ulaşılmasını engelleyebilecek
tüm maddi risklerin tespit edilmesini ve değerlendirilmesini gerektirmektedir.
Risklerin değerlendirilmesi sürecinde bankanın ve konsolide bazda banka grubunun
karşı karşıya olduğu tüm riskler (kredi riski, ülke riski, transfer riski, piyasa, faiz
riski, likidite riski vb.) dikkate alınmalı ve değerlendirilmelidir. Konsolide bazda
denetim ise bankaların ulusal ve uluslararası düzeyde bankacılık faaliyetlerinin ve
diğer faaliyetlerin doğrudan veya dolaylı olarak değerlendirilmesini gerektirir.
178
Banka gözetim otoritesinin, bankanın yeterli ve etkin bir iç denetim
sisteminin bulunmadığını belirlemesi durumunda gerekli düzenleyici tedbirleri
alması gerekmektedir.
Bankalar hem mali kesimin hem de ekonominin geneli açısından çok önem
arz ettiği için, bankacılık sektöründe yaşanan sorunlar ve krizler de ekonominin
geneline çok çabuk yayılabilmektedir. Bu sorunları engelleyebilmek için gelişmiş
ülkelerin merkez bankaları ve bankacılık denetim otoritelerinden de yetkililerin
katılımıyla oluşturulan Basel Bankacılık Gözetim Komitesi; bankacılık gözetim ve
denetimini etkinleştirmeye yönelik prensipler geliştirmiştir. Basel, Türkiye ‘de
bankaların risklerini daha iyi bir şekilde yönetmelerini sağlayacak stratejinin temel
taşı olarak görülmektedir.
Basel II ile birlikte Türkiye’de faaliyet gösteren bankalar kendi kredi
notlarına bağlı olarak risk ağırlığına tabi tutulacaktır. Bankalar olumlu kredi notuna
sahip ise yeni düzenlemelerden olumlu etkilenecek, artan dış finansman imkanlarına
paralel olarak kaynak maliyetleri de azalacaktır. Banka risklerinin ülke kredi notu
dikkate alınarak ağırlıklandırılması durumunda, ülke kredi notunun düşük olması
nedeniyle Türk bankaları %100 risk ağırlığına tabi olacaktır. Bu durum olumsuz
kredi notuna sahip olan bankaların kaynak maliyetini de arttırabileceği gibi Türk
Bankalarının borçlanma imkanlarını da kısıtlayabilir. Bu nedenlerden dolayı yüksek
borçlanma maliyetlerinin azaltılabilmesi ve ülke bazında dış kredi puanının
arttırılması büyük önem taşımaktadır.
Türkiye’de bankalar çok uzun bir süre yüksek riskli bir ortamda
çalışmışlardır. Bu dönemde özellikle kamu kesimi borçlarının artması ve bütçe
finansmanında kamu bankalarının kaynaklarının kullanılması bankacılık sektörünün
çok ağır yaralar almasına sebep olmuştur.
2000’li yıllara gelindiğinde bankacılık sektörü çok ciddi bir riskle karşı
karşıya kalmıştır ve bunun sonucunda bankacılık sektörünün yeniden
yapılandırılması kaçınılmaz hale gelmiştir. Bu amaçla iç denetimle ilgili
düzenlemelerde değişiklikler yapılmıştır. Her banka kendi bünyesinde, düzenlemeler
179
gereği iç kontrolün yanı sıra iç denetimin bir parçası olan teftiş kurulunu oluşturmuş
fakat teftiş ile ilgili yapılan çalışmalar müfettiş istihdam etmekten çok öteye
gidememiş, yapılanma ve sistemlerin etkinliği konusunda ise çeşitli farklılıklar
ortaya çıkmıştır.
Her ne kadar bankalarda İç Kontrol Merkezi benzeri bir sistemin
oluşturulması Basel Komite kararlarında öngörülmese de ülkemizdeki bankaların iç
denetim sisteminin düzenlenmesine ilişkin olarak BDDK’nın 03/10/2001 tarihli
kararı çerçevesinde teftiş kurulları yanında iç kontrol birimleri de kurulmuştur. Bahsi
geçen düzenleme, ülke ekonomisinin kırılgan bir yapıya sahip olması nedeniyle
bankacılık sisteminin olası risklere karşı aşırı duyarlılığının sınırlanması ve geçmişte
yaşanmış krizlerin tekrar yaşanmaması açısından yararlı bir düzenleme olarak
karşımıza çıkmaktadır.
Sonuç olarak, küreselleşmeyle birlikte dünya ekonomik düzeni içinde bir
ülkede meydana gelen gelişmeler sadece o ülkeyi değil, o ülkenin ekonomik
bağlantısı olan ülkeler yoluyla tüm ekonomileri etkiler duruma gelmiştir. Yaşanan bu
hızlı gelişmeler ise bankacılık sektörünün uluslararası alanda karşılaştığı ve
yönetmek zorunda olduğu riskleri hem arttırmış hem de bu risklerin çeşitlenmesine
neden olmuştur. Türkiye’de ise bankacılık sektöründe yaşanan sorunlar ve krizler
sektörde faaliyet gösteren bankaların bir kısmının yükümlülüklerini yerine
getirememesine bir kısmının da ortaya çıkan yeni durumlara gereken uyumu
sağlayamamasına neden olmuştur. Bütün bu yaşananlar sonucunda bankacılık
sektörünün yoğun bir denetime tabi tutulmasının önemi ortaya çıkmıştır. Bu
doğrultuda uluslararası düzenleyiciler tarafından prensipleri belirlenen “Bankaların
İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik” hazırlanmış ve iç
denetimle ilgili düzenlemeler yapılmış ve bunların uygulanması zorunlu kılınmıştır.
EK-1: T.C. Ziraat Bankası A.Ş. İç Kontrol Daire Başkanlığı Risk Uyarı Raporu Örneği
180
T.C. ZİRAAT BANKASI A.Ş. İÇ KONTROL DAİRE BAŞKANLIĞI İnceleme Yapılan Şube Genel Merkez No Şube Ölçeği ........................... İnceleme Yapılan Grup Muhasebe, Krediler, Müşteri Hizmetleri Rapor Tarih - No ...../...../2010 - ............ Düzenleyen İç Kontrol Elemanı Şubeniz nezdinde yapılmış olan kontrol amaçlı çalışmalar neticesinde tespit edilen risk doğurabilecek unsurlar aşağıda belirtilmiş olup, Risk Uyarı Raporu ......... sayfadan oluşmaktadır. Gereğinin yapılarak sonucun .../.../2010 tarihine kadar bildirilmesi rica olunur. ..................................Şubesi 2010/.......sayılı Risk Uyarı Raporunun . sayfasıdır. EK-2: T.C. Ziraat Bankası A.Ş. İç kontrol Daire Başkanlığı Dönemsel Kontrol Rapor Örneği
181
…………………………ŞUBESİ'NE Rapor No: 200.../…..
DÖNEMSEL KONTROL RAPORU
Denetlenen Birim :.......................................................................... İç Kontrol Elemanının Adı ve Soyadı :........................................................................... Raporun Tarih ve No’su :........................................................................... Denetim Dönemi :...........................................................................
T.C. ZİRAAT BANKASI A.Ş. İÇ KONTROL DAİRE BAŞKANLIĞI
182
Şubeniz nezdinde yapılmış olan kontrol amaçlı çalışmalar neticesinde aşağıda belirtilen hususlar tespit edilmiştir.
Bilgi edinilmesi ve gereği rica olunur.
BÖLÜM :
Hizmetler (Satınalma-İnşaat-İdari İşler-Sağlık-Güvenlik)
KOD : 03
KOD STANDART KONTROL NOKTALARI EVET HAYIR KISMEN *
S 01 Görev bitiminde koruma ve güvenlik görevlisinden adına kayıtlı tabancası teslim alınarak mevzuata uygun olarak saklanıyor mu?
S 02 Koruma ve güvenlik görevlileri görev başında tam teçhizatla ve resmi kıyafetle görev yapıyor mu?
S 03 Kıymetli matbualar alındığında tespit yapılarak gerekli defterlere kaydediliyor mu?
S 04 Haberleşme servisinde, gelen ve giden belgeler usulüne uygun olarak kaydediliyor mu?
S 05 Faks çekiminden sonra alınan jurnal metnin üzerine eklenerek muhafaza ediliyor mu?
S 06 Posta bordrolarının bir nüshası muhafaza ediliyor mu ?
S 07 Haberleşme servisince, şube içerisine dağıtımı yapılan belgeler imza karşılığı teslim ediliyor mu?
S 08 Eczanelerle yapılan protokoller her yıl yenileniyor mu?
S 09 Her mensuptan tedavi yardım beyannamesi alınarak bir nüshası Genel Müdürlüğe gönderilip, bir nüshası da dosyasında saklanıyor mu?
S 10 Hizmet aracına ait harcamalar için düzenlenen belgelerin bir sureti dosyada muhafaza ediliyor mu?
S 11 Taşıt görev emri formları düzenleniyor mu?
S 12 Her kalem 10 günlük tedavi dozunu geçmemek üzere herbir kalemden 1 adetten fazla olmamak kaydıyla en çok 4 kalem ilacı içeren reçete bedellerinin ödenmesine dikkat ediliyor mu?
S 13 Demirbaşlar için yapılan ödemeler, bakım ve onarım masrafları gibi harcamalara ait faturalar tediye fişi ile birlikte demirbaşın özelliklerini içeren cetvele kaydediliyor mu?
S 14 Şubede kullanılmakta olan fotokopi, para sayma makinası, faks ve klima cihazları faal mi, bakımları zamanında yaptırılıyor mu?
S 15 Her mensup ve bakmakla yükümlü olduğu aile bireyleri için birer sağlık dosyası tutuluyor mu?
…../…../200... Teslim alınmıştır.
........................... Bölüm Müdürü / Yönetmeni İç Kontrol Elemanı
Adı Soyadı : Adı
Soyadı : İmza : İmza :
KAYNAKÇA
183
AUDITING Concepts Commıtte (1972), "Report of Committe on Basic Auditing
Concepts", Accounting Rewiev, Vol.47, p.181.
AKAY, Hüseyin (1995), "Muhasebe Denetiminde İç kontrol Riskinin İncelenmesi ve
Değerlendirilmesi," Vergi Dünyası, Ekim, Sayı 170, s.102.
AKARKARASU, Nahit (2000), "Halka Açık Şirketlerde İç Denetim Kurullarının
Etkinleştirilmesi İçin Öneriler", SPK Yeterlilik Etüdü, İstanbul, s.11
AKIN, Cevdet (2001), "Denetimin Esasları", Banka-mali ve Ekonomik Yorumlar
Dergisi, Sayı 31, İstanbul, Ocak, s.31.
AKSOY, Tamer (2002), Tüm Yönleriyle Denetim, Yetkin Hukuk Yayınları, Ankara:
AKSOY, Tamer (1998), "Çağdaş Bankacılıkta Son Eğilimler ve Türkiye'de
Uluslarüstü Bankacılık", SPK Yayınları, s.2.
ALOĞLU, Ziya Tunç (2005), "Bankacılık Sektörünün Karşılaştığı Riskler ve
Bankacılık Krizleri Üzerindeki Etkileri", TCMB Bankacılık ve Finansal
Kuruluşlar Genel Müdürlüğü, Ankara.
ALTUĞ; Osman ve Diğerleri (1996), Banka İşlemleri ve Muhasebesi, İstanbul: s.14.
AVERY, Robert and Ailen N.Berger (1991), "Risk-Based Capital and Deposit
Insurance Reform" Journal of Banking and Finance, p.15.
BAILY, Robert (2005), "Basel II and Development Countries: Understanding The
Implications", Development Studies Institute, p.7.
BANKACILAR DERGİSİ (2000), TBB Yayını, Sayı 32, İstanbul, Mart.
BASEL Bankacılık Gözetim Komitesi Raporu (1998), "Bankalarda İç Denetim
Sistemleri", TBB Yayınları, Eylül .
BDDK (2001), "Bankalarda İç Denetim ve Risk Yönetimi Sistemleri Hakkında
Yönetmelik" 08.02.2001.
BORHAN, Serdar(2000), Teftiş Teknikleri, Eğitim ve Tanıtım Grubu Seminer
Notları, İstanbul: Türkiye Bankalar Birliği Yayınları.
BOZKURT, Nejat (1998), Muhasebe Denetimi, İstanbul: Alfa Basım Yayım
Dağıtım.
CENK, Ali Kemal (2005), "Uluslar arası Bankacılık Denetim İlkeleri ve Denetim
Süreçleri", Active, Mart-Nisan.
COLBERT, L.J. and P.L. Bowen (1998), A Comparison of Internal Controls, p.1.
CORNS, Marshall (1986), Audit a Bank, Boston: Bankers Publishing Company.
184
ÇAĞRI, Hasan (1999), "İşletme Yönetimi", Uzman Gözüyle Bankacılık Dergisi, Sayı
25, İstanbul, Nisan.
ÇELİK, Faik (2001), "Türk Bankacılığında Risk Yönetimi Yönetmeliği Dönemi ve
Piyasa Riski Ölçüm Metodları," İktisat Dergisi, Eylül.
ÇÖMLEKÇİ, Ferruh ve Melih Erdoğan (1996), Muhasebe Denetimi, Eskişehir: AÖF
Yayınları, 2.Basım, No:544.
DİCLE, Berk (1997), "İç Denetim Anlayışı ve İç Kontrol", Vergi Dünyası, Hesap
Uzmanları Derneği Yayınları, Mart, Sayı 187.
ERÇEL, Gazi (2000), "Konuşmalar-1999, Bankacılıktaki Son Gelişmeler", İstanbul:
TCMB, İktisadi Kalkınma Vakfı-AKDENET, Eylül.
EYÜPGİLLER, Servet (1988), Banka İşletmeciliği Bilgisi, Ankara: Banka ve Ticaret
Hukuku Araştırma Enstitüsü, Yayın No:219, 1988.
FİKİRKOCA, (2003), Bütünsel Risk Yönetimi, Ankara: Bilgi Yayınevi
GEYLAN, Ramazan (1985), Ticari Banka Yönetimi ve Türk Ticaret Banklarının
Temel Yönetim Sorunları, Eskişehir: Anadolu Üniversitesi Yayınları.
GÜLTEKİN, E. (2001), "Risk Tabanlı Sermaye Modeli ve Türkiye Örneği", BDDK
Yetki Etüdü Raporu, Ankara.
GÜRBÜZ, Hasan (1990), Muhasebe Denetimi, Eskişehir: Bilim Teknik Yayınevi, 4.
Basım.
GÜREDİN, Ersin (1994), Denetim, İstanbul: 6.Basım, Beta Basım Yayım Dağ.A.Ş..
HORWARD, F. Stetler (1982), Auditing Principles, New Jersey: Englewood Cliff,
Prentice Hall.
KAHRAMAN, Abdülkadir (2000), "Bankacılık Sektöründe Risk Yönetimi ve
Beklentiler," Activefinans Dergisi, Ekim-Kasım.
KANDİLLER, Rıza (1996), "Banka Hukuku ve Bankalar Kanunumuzun Başlıca
Hükümleri", TBB Yayınları
KARA, Ziya (2001), "Banka Denetiminde Uluslararası Kriterler," Banka-Mali ve
Ekonomik Yorumlar Dergisi, Sayı 38, İstanbul, Haziran.
KARACAN, Ali İhsan (1997), "Bankacılık ve Kriz," Creative Yayıncılı.
KAVAL, Hasan (2000), Bankalarda Risk Yönetimi, Ankara: Yaklaşım Yayınları,
KENGER, Erdal (2001), Denetçi yardımcıları Eğitim Notları, Ankara: s.1.
KEPEKÇİ, Celal (1994), İç Kontrol Sistemi, Ankara: s.1.
185
KOCABAY, İbrahim (1998), "İşletmelerde İç Denetim," Vergi Dünyası, Sayı 198,
Şubat.
KÖYLÜOĞLU, H. Uğur (2001), "Risk Yönetimi! Zaman Geçirmeden Neden?
Nasıl?," Active Finans, Mart-Nisan.
KURBAN, İbrahim (1997), "İç Denetim Fonksiyonunun Etkinliği İçin Kurum İçi
Düzenlemeler," İç Denetim Enstitüsü Yayınları, No:13, Mayıs, s.24.
MANDACI, Pınar Evrim (2003), "Türk Bankacılık Sektörünün Taşıdığı Riskler ve
Finansal Krizi Aşmada Kullanılan Risk Ölçüm Teknikleri," Dokuz Eylül
Üniversitesi SBE Dergisi, Cilt 5, Sayı 1, s.72.
ÖRENAY, Hami (2005), "Kamuda Denetim," Maliye Bütçe Kontrolörleri Derneği
Yayınları, Mart, s.1.
ÖZGEN, Aysun (2001), "Denetim ve Planlama," İktisat, İşletme ve Finans Dergisi,
Sayı 180, Mart, s.23.
ÖZKAN, Arif (2000), "Muhasebe Denetimi Mesleğinde Sorumluluklar ve Meslek
Ahlakı," Banka-Mali ve Ekonomik Yorumlar Dergisi, Sayı 5, İstanbul,
Mayıs, s.24.
ÖZTÜRK, Durmuş ve Çağlayan, Toper (1998), "Kamu Harcamalarının Yönetim ve
Denetimi," Maliye ve Gümrük Bakanlığı Araştırma, Planlama ve
Koordinasyon Kurulu, Yayın No:1998/800, Ankara, s.21.
PEKER, Alparslan (1983), Modern Yönetim Muhasebesi, İstanbul: Genişletilmiş
3.Basım Filiz Kitabevi, s.236.
PICKETT, K.H. Spencer (2003), The International Auditing Handbook, Second
Edition Wiley, s.2.
POLAT, Erdal (1998), "Denetimde Beşeri Unsurun Rolü ve Önemi," Uzman Gözüyle
Bankacılık Dergisi, Sayı 23, Eylül, s.6.
POROY, Reha ve Diğerleri (1997), Ortaklıklar ve Kooperatif Hukuku, İstanbul: Beta
Yayınları, s.331.
POYRAZ, Sinem (1993), Denetim Teknikleri, İstanbul: Beta Basım Yayım A.Ş.,
SANTOS, Joao (2000), "Bank Capital Regulation in Contemporary Banking Theory"
A Review of the Literature, BIS Working Papers, No.90,
SAWYER, B. Lawrance (1988a), Sawyer's Internal Auditing, Florida: The Institude
of Internal Auditors Press, p.90.
186
SEVİLENGÜL, Orhan (1997), Banka Muhasebesi, Ankara: s.122.
SEZER, Halit (2001), "İç Denetimin Fonksiyonel Yapısı," Active Finans ve
Bankacılık
T.C. ZİRAAT BANKASI Teftiş Kurulu Yönetmeliği, Madde 15
T.C MALİYE BAKANLIĞI (2005), "İç Denetçilerin Çalışma Usul ve Esasları İle
Diğer Hususlar Hakkında Yönetmelik," Bütçe ve Mali Kontrol Genel
Müdürlüğü.
TAKAN, Mehmet (2001), Bankacılık Teori Uygulama ve Yönetim, Ankara: 1.Basım,
Nobel Yayın.
TEVFİK T.A. ve G. Tevfik (1997), Bankalarda Finansal Yönetime Giriş, İstanbul:
TEZER, Öcal ve Ö.Faruk Çolak (1999), Finansal Sistem ve Bankalar, Ankara: Nobel
Yayını, s.14.
TÜMER, Melih (1975), Yönetim ve Yönetici, İstanbul: s.326.
UZAY, Şaban (1999), "İşletmelerde İç Kontrol Sisteminin İncelenmesi, Bağımsız
Dış Denetimin Karar Alma Sürecindeki Yeri ve Türkiye'deki Denetim
Firmalarına Yönelik Bir Araştırma," SPK Yayınları, No:132, Ankara.
ÜNSAL, B.A. (2001), "Bankacılıkta Likidite Riski Yönetimi," BDDK Yetki Etüdü
Raporu, Ankara.
WILLIAM, P. Leonard (1983), The Management Audit, New Jersey, Englewood
Cliffs Prentice Hall.
YILDIRIM, Oğuz (2004), "Türk Bankacılık Sektörünün Temel Sorunları ve
Sektörde Yaşanan Mali Riskler," Dış Ticaret Dergisi, Yıl 9, Sayı 30,
Ocak, s.1.
YÖRÜKER, Sacit (2003), Kamu Mali Yönetimi ve Kontrol Kanunu Hakkında
Notlar, Kasım, s.1.
YÜZGÜN, Arslan (1995), "Genel Denetim Yaklaşımı," Uzman Gözüyle Bankacılık
Dergisi, Sayı 16, Ankara, s. 14.
ZARAKOLU, Avni (1994), Para ve Kredi Bilgisi, Ankara: Banka ve Ticaret Hukuku
Araştırma Enstitüsü Yayınları, Yayın No: 161, s.26.